NCSC-2022-0239 [1.00] [H/M] Kwetsbaarheid gevonden in NGINX-LDAP

Er is een kwetsbaarheid gevonden in de LDAP-reference-implementatie van NGINX. Dit stelt een kwaadwillende in staat om willekeurige code uit te voeren wanneer aan bepaalde condities wordt voldaan. Het gebruik van command-line parameters om de Python daemon te configureren, ongebruikte configuratieparameters en het gebruik van een specifiek group membership in LDAP-authenticatie zijn vereist om de applicatie mogelijk te misbruiken. De kwetsbaarheid heeft nog geen CVE-kenmerk toegewezen gekregen. NGINX heeft mitigerende maatregelen beschikbaar gesteld, zie “Mogelijke oplossingen” voor meer informatie.