CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-36658
https://notcve.org/view.php?id=CVE-2020-36658
In Apache::Session::LDAP before 0.5, validity of the X.509 certificate is not checked by default when connecting to remote LDAP backends, because the default configuration of the Net::LDAPS module for Perl is used. NOTE: this can, for example, be fixed in conjunction with the CVE-2020-16093 fix. En Apache::Session::LDAP anterior a 0.5, la validez del certificado X.509 no se verifica de forma predeterminada cuando se conecta a backends LDAP remotos, porque se usa la configuración predeterminada del módulo Net::LDAPS para Perl. NOTA: esto se puede solucionar, por ejemplo, junto con la corrección CVE-2020-16093. • https://github.com/LemonLDAPNG/Apache-Session-LDAP/commit/490722b71eed1ed1ab33d58c78578f23e043561f https://lists.debian.org/debian-lts-announce/2023/01/msg00024.html • CWE-295: Improper Certificate Validation •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 1CVE-2021-40874
https://notcve.org/view.php?id=CVE-2021-40874
An issue was discovered in LemonLDAP::NG (aka lemonldap-ng) 2.0.13. When using the RESTServer plug-in to operate a REST password validation service (for another LemonLDAP::NG instance, for example) and using the Kerberos authentication method combined with another method with the Combination authentication plug-in, any password will be recognized as valid for an existing user. Se ha detectado un problema en LemonLDAP::NG (también se conoce como lemonldap-ng) versión 2.0.13. Cuando es usado el complemento RESTServer para operar un servicio de comprobación de contraseñas REST (para otra instancia de LemonLDAP::NG, por ejemplo) y es usado el método de autenticación Kerberos combinado con otro método con el complemento de autenticación combinada, cualquier contraseña será reconocida como válida para un usuario existente • https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/-/issues/2612 • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 1CVE-2020-16093
https://notcve.org/view.php?id=CVE-2020-16093
In LemonLDAP::NG (aka lemonldap-ng) through 2.0.8, validity of the X.509 certificate is not checked by default when connecting to remote LDAP backends, because the default configuration of the Net::LDAPS module for Perl is used. En LemonLDAP::NG (también se conoce como lemonldap-ng) versiones hasta 2.0.8, la validez del certificado X.509 no es comprobada por defecto cuando es conectado a backends LDAP remotos, porque es usada la configuración por defecto del módulo Net::LDAPS para Perl • https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/-/issues/2250 https://lemonldap-ng.org/download https://lists.debian.org/debian-lts-announce/2023/01/msg00027.html • CWE-295: Improper Certificate Validation •
CVSS: 8.8EPSS: 1%CPEs: 2EXPL: 1CVE-2021-35472
https://notcve.org/view.php?id=CVE-2021-35472
An issue was discovered in LemonLDAP::NG before 2.0.12. Session cache corruption can lead to authorization bypass or spoofing. By running a loop that makes many authentication attempts, an attacker might alternately be authenticated as one of two different users. Se ha detectado un problema en LemonLDAP::NG versiones anteriores a 2.0.12. La corrupción de la caché de la sesión puede conllevar a una omisión de la autorización o una suplantación de identidad. • https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/-/commit/8d3b763b6af2b8a9c4ad2765fbfabffec8a73af5 https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/-/issues/2539 https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/-/tags https://www.debian.org/security/2021/dsa-4943 • CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVSS: 9.8EPSS: 1%CPEs: 3EXPL: 1CVE-2020-24660
https://notcve.org/view.php?id=CVE-2020-24660
An issue was discovered in LemonLDAP::NG through 2.0.8, when NGINX is used. An attacker may bypass URL-based access control to protected Virtual Hosts by submitting a non-normalized URI. This also affects versions before 0.5.2 of the "Lemonldap::NG handler for Node.js" package. Se detectó un problema en LemonLDAP::NG versiones hasta 2.0.8, cuando NGINX es usado. Un atacante puede omitir el control de acceso basado en URL a los Host Virtuales protegidos mediante el envío de un URI no normalizado. • https://github.com/LemonLDAPNG/node-lemonldap-ng-handler/releases/tag/0.5.2 https://github.com/LemonLDAPNG/node-lemonldap-ng-handler/security/advisories/GHSA-x44x-r84w-8v67 https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/-/issues/2290 https://www.debian.org/security/2020/dsa-4762 • CWE-425: Direct Request ('Forced Browsing') •