Apache CXF: LDAP-Injection-Schwachstelle ermöglicht Angreifern Zugriff auf beliebige Zertifikate

Mai 2026 über die Mailingliste der Apache-Entwickler öffentlich bekannt gegeben. Sie verdeutlicht die Risiken, die durch eine unzureichende Eingabevalidierung in LDAP-Abfragen entstehen können. Das Problem liegt Modul für den XKMS-LDAP-Zertifikatspeicher vor. Hier führt eine unzureichende Bereinigung LDAP-Injection-Schwachstelle.

Angreifer können diese Lücke ausnutzen, indem sie bösartige Abfragen erstellen, die die Suchfilter des Backend-LDAP-Systems manipulieren. Dadurch können unbefugte Nutzer Zertifikate extrahieren, die über ihren eigentlich berechtigen Zugriffsbereich hinausgehen.

Obwohl die Schwachstelle keine direkte Ausführung öglicht, kann sie Vertrauensinfrastrukturen erheblich schwächen.

Zertifikate, die durch die Ausnutzung der

Zertifikate, die durch die Ausnutzung der Lücke erhalten werden, könnten für Identitätsdiebstahl, das Abfangen verschlüsselter Kommunikationen oder weitere laterale Bewegungen innerhalb sind die Versionen 4.2.0 vor 4.2.1, alle Versionen zwischen 4.0.0 und 4.1.5 sowie alle Versionen vor 3.6.11.

Organisationen, die diese Versionen Produktionsumgebungen einsetzen, sind einem erhöhten Risiko ausgesetzt. Dies gilt insbesondere für Einrichtungen, die XKMS für das Management des Zertifikatslebenszyklus integrieren. Ein Angreifer, der mit einem verwundbaren XKMS-Endpunkt interagiert, könnte speziell angefertigte LDAP-Filter Anfragen zum Abruf ügen.

Dies ermöglicht es ihm, Zertifikate anderer Benutzer oder Dienste innerhalb des Verzeichnisses zu enumerieren oder zu extrahieren. Die Apache Software Foundation bestätigte über die Mailingliste der Entwickler, dass gepatchte Versionen der Software die Schwachstelle beheben. Dazu zählen Version 4.2.1, Version 4.1.6 sowie Version 3.6.11.

Sicherheitslage und Risiko

Diese Updates führen eine korrekte Eingabevalidierung sowie eine sichere Verarbeitung, Injektionsangriffe zu verhindern. Sicherheitsteams werden dringend aufgefordert, unverzüglich auf die neuesten gepatchten Versionen zu aktualisieren.

Neben der Installation der Patches sollten Organisationen ihre LDAP-Zugriffssteuerungen überprüfen, Protokolle zum Zertifikatszugriff auf ungewöhnliche Aktivitäten überwachen und die externe Exposition möglich einschränken. Diese Schwachstelle unterstreicht das anhaltende Risiko, das Injektionsfehler in unternehmensweiten Middleware-Komponenten darstellen.

Selbst in modernen Frameworks kann eine unsachgemäße Behandlung gefährden. Abi ist eine Sicherheitsredakteurin und Reporterin bei