CVE-2021-35247

Improper Input Validation Vulnerability in Serv-U

CVSS 4.3 MEDIUMEPSS 3.4%● KEVCWE-20

Em resumo

A tela de login do Serv-U aceitava caracteres não sanitizados adequadamente ao autenticar usuários via LDAP, podendo permitir que atacantes contornem verificações de segurança. Embora servidores LDAP geralmente ignorem entrada malformada, a vulnerabilidade pode ser explorada em certas configurações.

Detalhe técnico

Esta vulnerabilidade de validação inadequada de entrada (CWE-20) afeta o mecanismo de autenticação LDAP na interface web do Serv-U. Um atacante não autenticado pode enviar caracteres especiais não sanitizados para a tela de login; embora a maioria dos servidores LDAP rejeite tal entrada, configurações específicas podem processá-la inesperadamente, potencialmente levando a contorno de autenticação ou ataques de injeção.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Serv-U web login screen to LDAP authentication was allowing characters that were not sufficiently sanitized. SolarWinds has updated the input mechanism to perform additional validation and sanitization. Please Note: No downstream affect has been detected as the LDAP servers ignored improper characters. To insure proper input validation is completed in all environments. SolarWinds recommends scheduling an update to the latest version of Serv-U.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Produtos afetados

SolarWinds · Serv-U

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://documentation.solarwinds.com/en/success_center/servu/content/release_notes/servu_15-3_release_notes.htm https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-35247 https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35247