Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Versions de LDAP Account Manager antérieures à la version 1.3.0.

Résumé

Une vulnérabilité de LDAP Account Manager permet à un utilisateur malveillant d'exécuter un code arbitraire à distance.

Description

LDAP Account Manager est une application PHP qui permet de gérer des comptes d'utilisateur Unix, Kolab, Samba, etc. dans un annuaire LDAP.

Un mauvais filtrage de certains caractères spéciaux HTML dans les données LDAP permet à un utilisateur malveillant de réaliser une insertion de code et l'exécution de ce code par le navigateur de l'utilisateur.

Solution

Installer la version 1.3.0.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation