Podatność w Internet2 Grouper umożliwia ominięcie mechanizmu uwierzytelniania LDAP poprzez użycie zakodowanych na stałe danych uwierzytelniających. Zagrożenie jest krytyczne, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika, a atakujący może uzyskać dostęp do systemu przez sieć.
▸ Pokaż oryginał (EN)
Internet2 Grouper before 5.6 allows authentication bypass when LDAP authentication is used in certain ways. This is related to internet2.middleware.grouper.ws.security.WsGrouperLdapAuthentication and the use of the UyY29r password for the M3vwHr account. This also affects "Grouper for Web Services" before 4.13.1.
Podatność wynika z obecności zakodowanych na stałe danych uwierzytelniających (hardcoded credentials) w komponencie WsGrouperLdapAuthentication — konkretnie konta M3vwHr z hasłem UyY29r. Atakujący znający te dane może ominąć mechanizm uwierzytelniania LDAP i uzyskać nieautoryzowany dostęp do usług webowych Grouper. Błąd klasyfikowany jest jako CWE-1390 (Weak Authentication), co oznacza fundamentalną wadę w logice weryfikacji tożsamości.
Atakujący może uzyskać nieautoryzowany dostęp do systemu z wysokim poziomem poufności i integralności danych, omijając całkowicie mechanizm uwierzytelniania LDAP bez znajomości jakichkolwiek legalnych danych użytkowników.
Należy zaktualizować Internet2 Grouper do wersji 5.6 lub nowszej oraz 'Grouper for Web Services' do wersji 4.13.1 lub nowszej. Szczegółowe informacje o patchu dostępne są w referencjach producenta pod identyfikatorem GRP-5515.
Internet2 Grouper w wersjach przed 5.6 oraz 'Grouper for Web Services' w wersjach przed 4.13.1, gdy skonfigurowane jest uwierzytelnianie LDAP.
Podatność związana z obecnością zakodowanych na stałe danych uwierzytelniających (konto M3vwHr, hasło UyY29r) w komponencie WsGrouperLdapAuthentication. Szczegóły techniczne opublikowane przez producenta pod identyfikatorem błędu GRP-5515.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N