VULHUB ™

BUGTRAQ ID: 33312 Lemonldap::NG是模块化的单点登录解决方案，可管理认证和授权。 在用户试图登录时如果帐号并不存在，Lemonldap::NG会返回一种错误；而当存在帐号但密码错误的话，Lemonldap::NG会返回另一种错误。这样远程攻击者就可以利用不同的返回信息判断是否存在特定的帐号。 Lemonldap::NG中index.pl没有正确地过滤url参数输入便返回给了用户，这允许远程攻击者通过提交恶意请求执行跨站脚本攻击。 ObjectWeb Consortium LemonLDAP:NG 0.9.3.1 ObjectWeb Consortium -------------------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://wiki.lemonldap.objectweb.org/xwiki/bin/view/NG/Presentation target=_blank rel=external nofollow>http://wiki.lemonldap.objectweb.org/xwiki/bin/view/NG/Presentation</a>

BUGTRAQ ID: 33312 Lemonldap::NG是模块化的单点登录解决方案，可管理认证和授权。 在用户试图登录时如果帐号并不存在，Lemonldap::NG会返回一种错误；而当存在帐号但密码错误的话，Lemonldap::NG会返回另一种错误。这样远程攻击者就可以利用不同的返回信息判断是否存在特定的帐号。 Lemonldap::NG中index.pl没有正确地过滤url参数输入便返回给了用户，这允许远程攻击者通过提交恶意请求执行跨站脚本攻击。 ObjectWeb Consortium LemonLDAP:NG 0.9.3.1 ObjectWeb Consortium -------------------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://wiki.lemonldap.objectweb.org/xwiki/bin/view/NG/Presentation target=_blank rel=external nofollow>http://wiki.lemonldap.objectweb.org/xwiki/bin/view/NG/Presentation</a>