YugabyteDB Anywhere отображает пароли привязки LDAP, настроенные с помощью gflags, в открытом виде в веб-интерфейсе. Аутентифицированный пользователь, имеющий доступ к представлению конфигурации, может получить учетные данные LDAP, что потенциально обеспечивает несанкционированный доступ к внешним службам каталогов.
Показать оригинальное описание (английский)
YugabyteDB Anywhere displays LDAP bind passwords configured via gflags in cleartext within the web UI. An authenticated user with access to the configuration view could obtain LDAP credentials, potentially enabling unauthorized access to external directory services.
Матрица атаки
Вектор атаки
Физический
Физический доступ
Сложность атаки
Высокая
Сложно эксплуатировать
Требуемые привилегии
Высокие
Нужны права админа
СТРОКА CVSS ВЕКТОРА
CVSS:4.0/AV:P/AC:H/AT:P/PR:H/UI:A/VC:L/VI:L/VA:L/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X