一、 漏洞 CVE-2024-23333 基础信息
漏洞标题
LAM 可能受到经身份验证的远程代码执行漏洞的影响
来源:AIGC 神龙大模型
漏洞描述信息
LDAP 账户管理器(LAM)是一个用于管理存储在 LDAP 目录中的条目的 Web 前端。LAM 的日志配置允许指定任意路径作为日志文件。在版本 8.7 之前,攻击者可以利用这一点,创建一个 PHP 文件,并导致 LAM 将一些 PHP 代码写入该文件。然后通过 Web 访问文件时,代码将被执行。该问题已被以下措施缓解:攻击者需要知道 LAM 的主配置密码才能更改主要设置;Web 服务器需要对可通过 Web 访问的目录具有写访问权限。LAM 自身并未提供此类目录。这个问题在 8.7 版本中已修复。作为临时解决方案,可以将对 LAM 配置页面的访问限制为授权用户。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
LAM vulnerable to Authenticated Remote Code Execution
来源:美国国家漏洞数据库 NVD
漏洞描述信息
LDAP Account Manager (LAM) is a webfrontend for managing entries stored in an LDAP directory. LAM's log configuration allows to specify arbitrary paths for log files. Prior to version 8.7, an attacker could exploit this by creating a PHP file and cause LAM to log some PHP code to this file. When the file is then accessed via web the code would be executed. The issue is mitigated by the following: An attacker needs to know LAM's master configuration password to be able to change the main settings; and the webserver needs write access to a directory that is accessible via web. LAM itself does not provide any such directories. The issue has been fixed in 8.7. As a workaround, limit access to LAM configuration pages to authorized users.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
LDAP Account Manager 注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LDAP Account Manager是一个 Web 前端,用于管理存储在 LDAP 目录中的条目(例如用户、组、DHCP 设置)。 LDAP Account Manager (LAM) 8.7之前版本存在安全漏洞,该漏洞源于日志配置允许为日志文件指定任意路径,攻击者利用该漏洞可以将一些 PHP 代码记录到日志文件中,当通过网络访问该文件时,代码将被执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-23333 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-23333 的情报信息
- https://github.com/LDAPAccountManager/lam/releases/tag/8.7 x_refsource_MISC
-
标题: Authenticated Remote Code Execution · Advisory · LDAPAccountManager/lam · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2024-23333