製品・ソフトウェアに関する情報

JVN脆弱性詳細

LDAP Account Managerのログ設定により任意ファイル書き込みが可能となる脆弱性

Title	LDAP Account Managerのログ設定により任意ファイル書き込みが可能となる脆弱性
Summary	LDAP Account Manager（LAM）は、LDAPディレクトリに保存されたエントリを管理するためのWebフロントエンドです。LAMのログ設定では、任意のパスをログファイルとして指定できます。バージョン8.7未満では、攻撃者がPHPファイルを作成し、LAMにPHPコードをそのファイルにログとして出力させることで、この脆弱性を悪用できます。Web経由でそのファイルにアクセスされると、コードが実行される可能性があります。この問題は以下の条件によって緩和されます。攻撃者はLAMのマスター設定パスワードを知っている必要があり、WebサーバーがWebからアクセス可能なディレクトリへの書き込み権限を持っている必要があります。さらに、LAM自体はそのようなディレクトリを提供していません。この問題はバージョン8.7で修正されています。ワークアラウンドとしては、LAMの設定ページへのアクセスを認証されたユーザーのみに制限してください。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 18, 2024, midnight
Registration Date	Dec. 25, 2025, 5:01 p.m.
Last Update	Dec. 25, 2025, 5:01 p.m.

CVSS3.0 : 警告
Score	6.6
Vector	CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

Affected System

LDAP Account Manager

LDAP Account Manager 8.7 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-23333	https://www.cve.org/CVERecord?id=CVE-2024-23333
National Vulnerability Database (NVD)
2	CVE-2024-23333	https://nvd.nist.gov/vuln/detail/CVE-2024-23333

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-74	https://cwe.mitre.org/data/definitions/74.html

ベンダー情報

No	Name	URL
GitHub Advisory Database
1	Authenticated Remote Code Execution Advisory LDAPAccountManager/lam GitHub	https://github.com/LDAPAccountManager/lam/security/advisories/GHSA-fm9w-7m7v-wxqv

その他

No	Name	URL
関連文書
1	Release LAM 8.7 with PHP 8.3 compatibility and passwordless SSO login for self service LDAPAccountManager/lam GitHub	https://github.com/LDAPAccountManager/lam/releases/tag/8.7

Change Log

No	Changed Details	Date of change
1	[2025年12月25日] 掲載	Dec. 25, 2025, 5:01 p.m.

NVD Vulnerability Information

CVE-2024-23333

Summary	LDAP Account Manager (LAM) is a webfrontend for managing entries stored in an LDAP directory. LAM's log configuration allows to specify arbitrary paths for log files. Prior to version 8.7, an attacker could exploit this by creating a PHP file and cause LAM to log some PHP code to this file. When the file is then accessed via web the code would be executed. The issue is mitigated by the following: An attacker needs to know LAM's master configuration password to be able to change the main settings; and the webserver needs write access to a directory that is accessible via web. LAM itself does not provide any such directories. The issue has been fixed in 8.7. As a workaround, limit access to LAM configuration pages to authorized users.
Publication Date	March 19, 2024, 6:15 a.m.
Registration Date	March 19, 2024, 10 a.m.
Last Update	Nov. 21, 2024, 5:57 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/LDAPAccountManager/lam/releases/tag/8.7
2	https://github.com/LDAPAccountManager/lam/releases/tag/8.7
3	https://github.com/LDAPAccountManager/lam/security/advisories/GHSA-fm9w-7m7v-wxqv
4	https://github.com/LDAPAccountManager/lam/security/advisories/GHSA-fm9w-7m7v-wxqv

Common Vulnerabilities List