CVE-2021-29156 — 神龙十问 AI 深度分析摘要

🚨 **本质**：LDAP注入漏洞。ForgeRock OpenAM在处理密码重置请求时，未对用户输入进行充分过滤，导致恶意LDAP查询注入。 💥 **后果**：攻击者可逐个字符窃取**密码哈希**、**会话令牌**或**私钥**，严重威胁身份安全。

🔍 **缺陷点**：LDAP注入。 📝 **CWE**：数据中未提供具体CWE ID，但核心问题是后端LDAP查询构建时缺乏输入验证。

🎯 **受影响组件**：ForgeRock OpenAM。 📉 **具体版本**：**13.5.1 之前**的所有版本（如 v13.0.0）。

🕵️ **黑客能力**： 1. **枚举用户**：验证用户是否存在。 2. **窃取敏感数据**：逐个字符检索**密码哈希**、**会话令牌**、**私钥**。 3. **潜在权限提升**：利用窃取的信息进行进一步攻击。

🚪 **利用门槛**：中等。 🔑 **前提条件**：通常需要在**密码重置**流程中触发（输入用户名），后端通过LDAP查询验证用户存在性。攻击者需能访问该接口。

🛠️ **现成Exp**：有。 📦 **PoC工具**： - GuidePoint Security 发布的 PoC。 - 5amu 发布的 Go 语言 PoC（修复了旧版问题）。 - ProjectDiscovery Nuclei 模板已收录。

🔎 **自查方法**： 1. **扫描**：使用 Nuclei 模板 `CVE-2021-29156.yaml` 进行自动化扫描。 2. **测试**：在密码重置接口尝试注入LDAP特殊字符，观察响应差异或错误信息。 3. **版本检查**：确认 OpenAM 版本是否低于 13.5.1。

🛡️ **官方修复**：已修复。 ✅ **解决方案**：升级至 **ForgeRock OpenAM 13.5.1** 或更高版本。参考 JIRA 工单 OPENAM-10135。

⚠️ **临时规避**： 1. **升级**：最推荐方案。 2. **WAF规则**：部署 Web 应用防火墙，拦截包含 LDAP 特殊字符（如 `*`, `(`, `)`, `&`, `|`）的异常请求。 3. **输入验证**：在应用层严格过滤用户输入，禁止特殊字符。

🔥 **优先级**：高。 💡 **理由**：涉及核心身份认证系统（SSO），可直接窃取密码哈希和会话令牌，导致账户接管。建议立即排查并升级。