漏洞关键信息 漏洞概要 标题: LDAP Ingestion Source vulnerable to MITM attack through TLS downgrade 严重性: High (7.5/10) CVE ID: CVE-2026-25644 弱点类型: CWE-295 - Improper Certificate Validation 受影响的包 包: metadata-ingestion/src/datahub/ingestion/source/ldap.py (pip) 受影响版本: =1.3.1.8 漏洞影响 类型: CWE-295 - 不正确的证书验证 受影响组件: metadata-ingestion/src/datahub/ingestion/source/ldap.py 技术细节 LDAP摄入源显式地通过以下硬编码配置弱化TLS证书验证: 设置接受即使证书验证失败的TLS连接(包括主机名不匹配和不受信的颁发者),允许攻击者呈现一个伪造的证书并成功拦截LDAP凭据。 严重性加剧因素 1. 没有CA证书配置选项: - LDAPSourceConfig中没有配置参数来指定受信CA证书文件( )。 2. 忽略验证失败: - 即使添加了CA证书选项,硬编码的 设置仍会忽略验证失败。 修复措施 问题已在最新代码库中修复。 解决方案 确保DataHub部署仅暴露必要的外部服务,通常仅在DataHub和LDAP部署之间的完全内部网络上设置,仅在网络本身被破坏时才可被利用。 参考资料 https://www.wiz.io/vulnerability-database/cve/cve-2025-12765 类似问题 致谢 漏洞发现归功于Arad Inbar, Nir Somech 和 Ben Grinberg(DREAM)。