CVE-2026-47840 in UAA
Sumário
de VulDB • 09/07/2026
Un attaccante di rete posizionato tra l'UAA e il suo directory server LDAP può impersonare quest'ultimo utilizzando qualsiasi certificato emesso da una Certificate Authority (CA) attendibile, quindi raccogliere la password per l'accesso LDAP (bind password) e tutte le password degli utenti finali inviate durante l'autenticazione simple-bind, restituendo inoltre membership di gruppo contraffatte che concedono a sé stesso privilegi amministrativi. Questo problema interessa ogni deployment in cui gli utenti vengono autenticati contro un directory server LDAP tramite StartTLS. Versioni interessate: versioni UAA precedenti alla v78.13.0; versioni Cf-deployment precedenti alla v56.2.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.