CVE-2021-3825

Missing Authorization Checks in LiderAhenk

CVSS 9.6 CRITICALEPSS 1.6%CWE-306

Vexday Risk Score

28Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS 9.6EPSS 1.6%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

01 oct 2021Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

On 2.1.15 version and below of Lider module in LiderAhenk software is leaking it's configurations via an unsecured API. An attacker with an access to the configurations API could get valid LDAP credentials.

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Productos afectados

TUBITAK · Lider

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://pentest.blog/liderahenk-0day-all-your-pardus-clients-belongs-to-me/https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-21-0795 https://www.usom.gov.tr/bildirim/tr-21-0795