CVE-2026-47840 in UAAinformazioni

Riassunto

di VulDB • 09/07/2026

Un attaccante di rete posizionato tra UAA e il suo directory server LDAP può impersonare quest'ultimo utilizzando qualsiasi certificato emesso da una Certificate Authority (CA) attendibile, quindi raccogliere la password per l’accesso LDAP (LDAP bind password) e tutte le password degli utenti finali inviate durante l’autenticazione simple-bind, restituendo inoltre membership di gruppo contraffatte che concedono a sé stesso privilegi amministrativi. Questo problema interessa ogni deployment in cui gli utenti vengono autenticati contro un directory server LDAP tramite StartTLS.

Versioni interessate: versioni di UAA precedenti alla v78.13.0; versioni di Cf-deployment precedenti alla v56.2.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

Vmware

Prenotare

20/05/2026

Divulgazione

09/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!