CVE-2023-4727

High

A flaw was found in dogtag-pki and pki-core. The token authentication scheme can be bypassed with a LDAP injection. By passing the query…

redhat·CWE-305·Published 2024-06-11

CVSS

7.5

EPSS

0.01

KEV

Exploits

cve.orgen

299 chars

A flaw was found in dogtag-pki and pki-core. The token authentication scheme can be bypassed with a LDAP injection. By passing the query string parameter sessionID=*, an attacker can authenticate with an existing session saved in the LDAP directory server, which may lead to escalation of privilege.

NVDen

299 chars

NVDes

334 chars

Se encontró una falla en dogtag-pki y pki-core. El esquema de autenticación de token se puede omitir con una inyección LDAP. Al pasar el parámetro de cadena de consulta sessionID=*, un atacante puede autenticarse con una sesión existente guardada en el servidor de directorio LDAP, lo que puede conducir a una escalada de privilegios.

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
3.1	Primary	cve.org	7.5	—	—	CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
3.1	Primary	cve.org	7.5	—	—	CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H