一、 漏洞 CVE-2024-11193 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Yugabyte Anywhere中存在一个信息泄露漏洞,具体表现为LDAP绑定密码以明文形式被记录在应用程序日志中。这一漏洞导致在Yugabyte Anywhere日志中无意间暴露了敏感信息,可能允许未经授权访问这些日志的用户查看LDAP绑定密码。攻击者如果能够访问这些日志,就可以利用此漏洞获取对LDAP服务器的未经授权访问,从而可能导致LDAP管理资源的暴露或被攻陷。
该问题影响以下版本的YugabyteDB Anywhere:
- 2.20.0.0至2.20.7.0之前的版本
- 2.23.0.0至2.23.1.0之前的版本
- 2024.1.0.0至2024.1.3.0之前的版本
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
通过日志文件的信息暴露
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An information disclosure vulnerability exists in Yugabyte Anywhere, where the LDAP bind password is logged in plaintext within application logs. This flaw results in the unintentional exposure of sensitive information in Yugabyte Anywhere logs, potentially allowing unauthorized users with access to these logs to view the LDAP bind password. An attacker with log access could exploit this vulnerability to gain unauthorized access to the LDAP server, leading to potential exposure or compromise of LDAP-managed resources
This issue affects YugabyteDB Anywhere: from 2.20.0.0 before 2.20.7.0, from 2.23.0.0 before 2.23.1.0, from 2024.1.0.0 before 2024.1.3.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
通过日志文件的信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
YugabyteDB 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
YugabyteDB是美国Yugabyte公司的一款用于云原生应用程序的高性能事务性分布式 SQL 数据库。 YugabyteDB存在安全漏洞,该漏洞源于LDAP绑定密码以纯文本记录在应用程序日志中。导致信息泄露漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-11193 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-11193 的情报信息
-
标题: [BACKPORT 2024.1][PLAT-13707] redact ysql_hba_conf_csv value from logs · yugabyte/yugabyte-db@0bf6e5a · GitHub -- 🔗来源链接
标签:
神龙速读![[BACKPORT 2024.1][PLAT-13707] redact ysql_hba_conf_csv value from logs · yugabyte/yugabyte-db@0bf6e5a · GitHub](https://h.imfht.com:8082/2024-11-16/screenshot-full-2024-11-16T16-57-36.232Z-cbf1efa88d260b433a58.webp)
- https://nvd.nist.gov/vuln/detail/CVE-2024-11193