-
首页
-
>
安全漏洞
-
>
Huntflow Enterprise 注入漏洞
Huntflow Enterprise 注入漏洞
| CNNVD-ID编号 |
CNNVD-202110-1046 |
CVE编号 |
CVE-2021-37933 |
| 发布时间 |
2021-10-14 |
更新时间 |
2021-10-15 |
| 漏洞类型 |
注入 |
漏洞来源 |
N/A |
| 危险等级 |
N/A |
威胁类型 |
远程 |
| 厂商 |
N/A |
漏洞介绍
Huntflow Enterprise是俄罗斯Huntflow公司的一个高效招聘软件。
Huntflow Enterprise 存在注入漏洞,该漏洞源于 3.10.6 版本之前的 Huntflow Enterprise 中 /account/login 中的 LDAP 注入漏洞可能允许未经身份验证的远程用户修改 LDAP 查询的逻辑并绕过身份验证。 该漏洞是由于在使用电子邮件参数构建 LDAP 查询之前对电子邮件参数的服务器端验证不充分。 攻击者可以通过发送具有有效密码但电子邮件参数中包含通配符的登录尝试来绕过利用此漏洞的身份验证。
漏洞补丁
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://huntflow.ru/enterprise/express
参考网址
受影响实体
信息来源
计算
安全
数据库
网络和加速
企业服务
