CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15941
https://notcve.org/view.php?id=CVE-2019-15941
OpenID Connect Issuer in LemonLDAP::NG 2.x through 2.0.5 may allow an attacker to bypass access control rules via a crafted OpenID Connect authorization request. To be vulnerable, there must exist an OIDC Relaying party within the LemonLDAP configuration with weaker access control rules than the target RP, and no filtering on redirection URIs. OpenID Connect Issuer en LemonLDAP::NG versiones 2.x hasta 2.0.5, puede permitir a un atacante omitir las reglas del control de acceso por medio de una petición de autorización diseñada de OpenID Connect. Para ser vulnerable, debe existir una parte de Retransmisión de OIDC dentro de la configuración de LemonLDAP con reglas de control de acceso más débiles que el RP destino y sin filtrado en los URI de redireccionamiento. • https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/issues/1881 https://projects.ow2.org/view/lemonldap-ng/lemonldap-ng-2-0-6-is-out https://seclists.org/bugtraq/2019/Sep/46 https://www.debian.org/security/2019/dsa-4533 • CWE-863: Incorrect Authorization •
CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2019-13031
https://notcve.org/view.php?id=CVE-2019-13031
LemonLDAP::NG before 1.9.20 has an XML External Entity (XXE) issue when submitting a notification to the notification server. By default, the notification server is not enabled and has a "deny all" rule. LemonLDAP::NG anterior a versión 1.9.20 presenta un problema de tipo XML External Entity (XXE) cuando se envía una notificación al servidor de notificaciones. Por defecto, el servidor de notificaciones no está habilitado y tiene una regla de "deny all". • https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/issues/1820 https://lists.debian.org/debian-lts-announce/2019/07/msg00003.html https://www.calypt.com/blog/index.php/cve-2019-13031-xxe-on-lemonldapng-2-0-5 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 9.8EPSS: 3%CPEs: 2EXPL: 1CVE-2019-12046
https://notcve.org/view.php?id=CVE-2019-12046
LemonLDAP::NG -2.0.3 has Incorrect Access Control. LemonLDAP::NG - versión 2.0.3 tiene Control de Acceso Incorrecto. • https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/commits/master https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/issues/1742 https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/issues/1743 https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/issues/1744 https://lemonldap-ng.org/download https://projects.ow2.org/view/lemonldap-ng/lemonldap-ng-1-9-19-is-out https://projects.ow2.org/view/lemonldap-ng/lemonldap-ng-2-0-4-is-out https://seclists.org/bugtraq/2019/May/38 • CWE-522: Insufficiently Protected Credentials •
CVSS: 7.5EPSS: 0%CPEs: 26EXPL: 0CVE-2012-6426
https://notcve.org/view.php?id=CVE-2012-6426
LemonLDAP::NG before 1.2.3 does not use the signature-verification capability of the Lasso library, which allows remote attackers to bypass intended access-control restrictions via crafted SAML data. LemonLDAP::NG antes de v1.2.3 no utiliza la capacidad de verificación de firma de la biblioteca Lasso, lo que permite a atacantes remotos evitar restricciones de control de acceso a través de los datos SAML elaborados. • http://jira.ow2.org/browse/LEMONLDAP-570 http://openwall.com/lists/oss-security/2012/12/19/6 http://openwall.com/lists/oss-security/2012/12/20/6 • CWE-264: Permissions, Privileges, and Access Controls •