YugabyteDB Anywhere отображает пароли привязки LDAP, настроенные с помощью gflags, в открытом виде в веб-интерфейсе. Аутентифицированный пользователь, имеющий доступ к представлению конфигурации, может получить учетные данные LDAP, что потенциально обеспечивает несанкционированный доступ к внешним службам каталогов.
Показать оригинальное описание (EN)
YugabyteDB Anywhere displays LDAP bind passwords configured via gflags in cleartext within the web UI. An authenticated user with access to the configuration view could obtain LDAP credentials, potentially enabling unauthorized access to external directory services.
Характеристики атаки
Способ атаки
Физический
Нужен физический доступ
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Активное
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0