Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02410

Опубликовано: 27 мар. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость средства подключения к LDAP-серверу LDAP connector сервера Java Remote Connector Server (RCS) и системы управления идентификацией OpenIDM связана с отсутствием защиты передаваемых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

ForgeRock

Наименование ПО

OpenIDM
LDAP connector
Java Remote Connector Server (RCS)

Версия ПО

- (OpenIDM)
от 1.5.20.9 до 1.5.20.13 включительно (LDAP connector)
- (Java Remote Connector Server (RCS))

Тип ПО

Прикладное ПО информационных систем
Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://backstage.forgerock.com/knowledge/kb/article/a14149722
https://backstage.forgerock.com/downloads/browse/idm/featured
Компенсирующие меры:
Для смягчения влияния уязвимости рекомендуется отключить дополнительную функцию StartTLS в соединителе LDAP и настроить подключение LDAP через SSL (LDAPS), установив значения: "ssl": true, "startTLS": false.
Более подробная информация по настройке отображена в бюллетене:
https://backstage.forgerock.com/docs/idm/7/connector-reference/chap-ldap.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 34%
0.00141
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-1656

CVSS3: 7.5
nvd
почти 3 года назад

Cleartext Transmission of Sensitive Information vulnerability in ForgeRock Inc. OpenIDM and Java Remote Connector Server (RCS) LDAP Connector on Windows, MacOS, Linux allows Remote Services with Stolen Credentials.This issue affects OpenIDM and Java Remote Connector Server (RCS): from 1.5.20.9 through 1.5.20.13.

github логотип

GHSA-3452-rvwh-rv7h

CVSS3: 7.5
github
почти 3 года назад

Cleartext Transmission of Sensitive Information vulnerability in ForgeRock Inc. OpenIDM and Java Remote Connector Server (RCS) LDAP Connector on Windows, MacOS, Linux allows Remote Services with Stolen Credentials.This issue affects OpenIDM and Java Remote Connector Server (RCS): from 1.5.20.9 through 1.5.20.13.

EPSS

Процентиль: 34%
0.00141
Низкий

7.5 High

CVSS3

7.8 High

CVSS2