CVE-2026-47840 in UAA
Riassunto
di VulDB • 09/07/2026
Un attaccante di rete posizionato tra UAA e il suo directory server LDAP può impersonare quest'ultimo utilizzando qualsiasi certificato emesso da una Certificate Authority (CA) attendibile, quindi raccogliere la password per l’accesso LDAP (LDAP bind password) e tutte le password degli utenti finali inviate durante l’autenticazione simple-bind, restituendo inoltre membership di gruppo contraffatte che concedono a sé stesso privilegi amministrativi. Questo problema interessa ogni deployment in cui gli utenti vengono autenticati contro un directory server LDAP tramite StartTLS.
Versioni interessate: versioni di UAA precedenti alla v78.13.0; versioni di Cf-deployment precedenti alla v56.2.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.