製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

maddy projectのmaddyにおけるLDAP インジェクションの脆弱性

タイトル	maddy projectのmaddyにおけるLDAP インジェクションの脆弱性
概要	maddyはモジュール式のオールインワンメールサーバーです。バージョン0.9.3より前のauth.ldapモジュールにはLDAPインジェクションの脆弱性が存在していました。これは、ユーザーが提供したユーザー名がldap.EscapeFilter()関数を使用せず、strings.ReplaceAll()を介してLDAP検索フィルターやDN文字列に挿入されていたためです。この問題は、同じインポート内にgo-ldap/ldap/v3ライブラリのldap.EscapeFilter()関数が存在しているにもかかわらず発生していました。影響を受けるコードパスは、Lookup()フィルター、AuthPlain()のDNテンプレート、およびAuthPlain()のフィルターの3つです。SMTPサブミッションやIMAPインターフェースへのネットワークアクセスを持つ攻撃者は、AUTH PLAINやLOGINコマンドのユーザー名フィールドを通じて任意のLDAPフィルター式を注入できます。これによって、フィルター結果を操作し別のユーザーとして認証するアイデンティティのなりすましや、ワイルドカードフィルターを用いたLDAPディレクトリの列挙、さらに認証応答をブールオラクルや2つの異なる失敗パス間のタイミングサイドチャネルとして利用することでLDAP属性値のブラインド抽出が可能になります。この問題はバージョン0.9.3で修正されました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月16日0:00
登録日	2026年4月24日11:41
最終更新日	2026年4月24日11:41

CVSS3.0 : 重要
スコア	8.2
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

影響を受けるシステム

maddy project

maddy 0.9.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40193	https://www.cve.org/CVERecord?id=CVE-2026-40193
National Vulnerability Database (NVD)
2	CVE-2026-40193	https://nvd.nist.gov/vuln/detail/CVE-2026-40193

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-90	https://cwe.mitre.org/data/definitions/90.html

ベンダー情報

No	名前	URL
GitHub
1	LDAP Filter Injection via Unsanitized Username Advisory foxcpp/maddy GitHub	https://github.com/foxcpp/maddy/security/advisories/GHSA-5835-4gvc-32pc

その他

No	名前	URL
関連文書
1	auth/ldap: Fix GHSA-5835-4gvc-32pc foxcpp/maddy@6a06337 GitHub	https://github.com/foxcpp/maddy/commit/6a06337eb41fa87a35697366bcb71c3c962c44ba
2	Release [SECURITY] maddy 0.9.3 foxcpp/maddy GitHub	https://github.com/foxcpp/maddy/releases/tag/v0.9.3

変更履歴

No	変更内容	変更日
1	[2026年04月24日] 掲載	2026年4月24日11:41

NVD脆弱性情報

CVE-2026-40193

概要	maddy is a composable, all-in-one mail server. Versions prior to 0.9.3 contain an LDAP injection vulnerability in the auth.ldap module where user-supplied usernames are interpolated into LDAP search filters and DN strings via strings.ReplaceAll() without any LDAP filter escaping, despite the go-ldap/ldap/v3 library's ldap.EscapeFilter() function being available in the same import. This affects three code paths: the Lookup() filter, the AuthPlain() DN template, and the AuthPlain() filter. An attacker with network access to the SMTP submission or IMAP interface can inject arbitrary LDAP filter expressions through the username field in AUTH PLAIN or LOGIN commands. This enables identity spoofing by manipulating filter results to authenticate as another user, LDAP directory enumeration via wildcard filters, and blind extraction of LDAP attribute values using authentication responses as a boolean oracle or via timing side-channels between the two distinct failure paths. This issue has been fixed in version 0.9.3.
公表日	2026年4月16日9:16
登録日	2026年4月17日4:12
最終更新日	2026年4月23日5:13

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:maddy_project:maddy::::::::					0.9.3

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/foxcpp/maddy/commit/6a06337eb41fa87a35697366bcb71c3c962c44ba	security-advisories@github.com
2	https://github.com/foxcpp/maddy/releases/tag/v0.9.3	security-advisories@github.com
3	https://github.com/foxcpp/maddy/security/advisories/GHSA-5835-4gvc-32pc	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-90	LDAP インジェクション	https://cwe.mitre.org/data/definitions/90.html