CVE-2024-11193

An information disclosure vulnerability exists in Yugabyte Anywhere, where the LDAP bind password is logged in plaintext within application logs. This flaw results in the unintentional exposure of sensitive information in Yugabyte Anywhere logs, potentially allowing unauthorized users with access to these logs to view the LDAP bind password. An attacker with log access could exploit this vulnerability to gain unauthorized access to the LDAP server, leading to potential exposure or compromise of LDAP-managed resources This issue affects YugabyteDB Anywhere: from 2.20.0.0 before 2.20.7.0, from 2.23.0.0 before 2.23.1.0, from 2024.1.0.0 before 2024.1.3.0.
Configurations

No configuration.

History

14 Nov 2024, 15:35

Type Values Removed Values Added
Summary
  • (es) Existe una vulnerabilidad de divulgación de información en Yugabyte Anywhere, donde la contraseña de enlace LDAP se registra en texto plano dentro de los registros de la aplicación. Esta falla da como resultado la exposición involuntaria de información confidencial en los registros de Yugabyte Anywhere, lo que potencialmente permite que usuarios no autorizados con acceso a estos registros vean la contraseña de enlace LDAP. Un atacante con acceso a los registros podría explotar esta vulnerabilidad para obtener acceso no autorizado al servidor LDAP, lo que lleva a una posible exposición o compromiso de los recursos administrados por LDAP. Este problema afecta a YugabyteDB Anywhere: desde 2.20.0.0 antes de 2.20.7.0, desde 2.23.0.0 antes de 2.23.1.0, desde 2024.1.0.0 antes de 2024.1.3.0.
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 6.5

13 Nov 2024, 21:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-11-13 21:15

Updated : 2024-11-15 14:00


NVD link : CVE-2024-11193

Mitre link : CVE-2024-11193

CVE.ORG link : CVE-2024-11193


JSON object : View

Products Affected

No product.

CWE
CWE-532

Insertion of Sensitive Information into Log File