maddy projectのmaddyにおけるLDAP インジェクションの脆弱性
| Title |
maddy projectのmaddyにおけるLDAP インジェクションの脆弱性
|
| Summary |
maddyはモジュール式のオールインワンメールサーバーです。バージョン0.9.3より前のauth.ldapモジュールにはLDAPインジェクションの脆弱性が存在していました。これは、ユーザーが提供したユーザー名がldap.EscapeFilter()関数を使用せず、strings.ReplaceAll()を介してLDAP検索フィルターやDN文字列に挿入されていたためです。この問題は、同じインポート内にgo-ldap/ldap/v3ライブラリのldap.EscapeFilter()関数が存在しているにもかかわらず発生していました。影響を受けるコードパスは、Lookup()フィルター、AuthPlain()のDNテンプレート、およびAuthPlain()のフィルターの3つです。SMTPサブミッションやIMAPインターフェースへのネットワークアクセスを持つ攻撃者は、AUTH PLAINやLOGINコマンドのユーザー名フィールドを通じて任意のLDAPフィルター式を注入できます。これによって、フィルター結果を操作し別のユーザーとして認証するアイデンティティのなりすましや、ワイルドカードフィルターを用いたLDAPディレクトリの列挙、さらに認証応答をブールオラクルや2つの異なる失敗パス間のタイミングサイドチャネルとして利用することでLDAP属性値のブラインド抽出が可能になります。この問題はバージョン0.9.3で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 16, 2026, midnight |
| Registration Date |
April 24, 2026, 11:41 a.m. |
| Last Update |
April 24, 2026, 11:41 a.m. |
|
CVSS3.0 : 重要
|
| Score |
8.2
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
Affected System
| maddy project |
|
maddy 0.9.3 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月24日]
掲載 |
April 24, 2026, 11:41 a.m. |
NVD Vulnerability Information
CVE-2026-40193
| Summary |
maddy is a composable, all-in-one mail server. Versions prior to 0.9.3 contain an LDAP injection vulnerability in the auth.ldap module where user-supplied usernames are interpolated into LDAP search filters and DN strings via strings.ReplaceAll() without any LDAP filter escaping, despite the go-ldap/ldap/v3 library's ldap.EscapeFilter() function being available in the same import. This affects three code paths: the Lookup() filter, the AuthPlain() DN template, and the AuthPlain() filter. An attacker with network access to the SMTP submission or IMAP interface can inject arbitrary LDAP filter expressions through the username field in AUTH PLAIN or LOGIN commands. This enables identity spoofing by manipulating filter results to authenticate as another user, LDAP directory enumeration via wildcard filters, and blind extraction of LDAP attribute values using authentication responses as a boolean oracle or via timing side-channels between the two distinct failure paths. This issue has been fixed in version 0.9.3.
|
| Publication Date |
April 16, 2026, 9:16 a.m. |
| Registration Date |
April 17, 2026, 4:12 a.m. |
| Last Update |
April 23, 2026, 5:13 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:maddy_project:maddy:*:*:*:*:*:*:*:* |
|
|
|
0.9.3 |
Related information, measures and tools
Common Vulnerabilities List