¿Qué es LDAP Injection? Cómo funciona y cómo detenerlo

¿Qué es la inyección LDAP?

La inyección LDAP es un ataque del lado del servidor que explota aplicaciones web que construyen consultas del Protocolo Ligero de Acceso a Directorios a partir de entradas de usuario no saneadas. Cuando su aplicación no neutraliza correctamente los caracteres especiales antes de incorporarlos en las consultas LDAP, los atacantes pueden manipular esas consultas para eludir la autenticación, extraer datos sensibles del directorio o modificar entradas dentro del árbol LDAP.

Los directorios LDAP están en el núcleo de la infraestructura de identidad empresarial. Almacenan credenciales de usuario, membresías de grupos, listas de control de acceso, estructuras organizativas y detalles de cuentas de servicio. Un solo ataque exitoso de inyección LDAP puede exponer este repositorio, otorgando a un atacante las llaves de su infraestructura de autenticación.

MITRE clasifica esta vulnerabilidad como MITRE CWE-90: Neutralización incorrecta de elementos especiales utilizados en una consulta LDAP. OWASP la incluye bajo OWASP Injection y la categoría actualizada de OWASP Injection. La vulnerabilidad comparte su causa raíz con la  inyección SQL, pero apunta a un sistema fundamentalmente diferente y, a menudo, más crítico: el servicio de directorio que gobierna quién puede acceder a qué en toda su organización.

Comprender cómo funciona la inyección LDAP requiere conocer la sintaxis de consulta que los atacantes explotan.

¿Cómo funciona la inyección LDAP?

Los filtros de búsqueda LDAP siguen una gramática específica definida en la  sintaxis LDAP. Los filtros usan notación polaca (notación prefija), donde una consulta de autenticación simple se ve así:

El operador & realiza un AND booleano. Los paréntesis agrupan condiciones. El comodín * coincide con cualquier valor. Estos metacaracteres, junto con | (OR), ! (NOT), =, ~=, >=, <=, y () operadores de agrupación, forman la superficie de inyección.

Cuando un desarrollador construye un filtro concatenando directamente la entrada del usuario en la cadena de consulta, esos metacaracteres se convierten en armas. Si un formulario de inicio de sesión inserta el nombre de usuario directamente en un filtro como (&(uid=INPUT)(userPassword=HASH)), un atacante que envía metacaracteres manipulados puede cambiar completamente la lógica del filtro: eludiendo la autenticación, devolviendo todas las entradas del directorio o extrayendo datos carácter por carácter.

La técnica específica que utiliza un atacante depende del tipo de inyección LDAP.

Tipos de inyección LDAP

La inyección LDAP adopta varias formas distintas, cada una dirigida a un aspecto diferente de cómo las aplicaciones interactúan con el directorio. El tipo que utiliza un atacante depende del comportamiento de la aplicación, el contexto de la consulta y lo que el atacante puede observar en la respuesta.

Inyección de filtro de búsqueda

Considere este código Java vulnerable:

Si un atacante envía user=*, el filtro resultante se convierte en (cn=*), que coincide con cada objeto en el directorio con un atributo cn. Su aplicación devuelve todo el directorio de usuarios en lugar de un solo registro.

Elusión de autenticación

Los flujos de autenticación LDAP representan el objetivo de inyección de mayor consecuencia. Un filtro de inicio de sesión vulnerable como este:

Este filtro puede ser eludido inyectando )(uid=))(|(uid=* como nombre de usuario. El filtro resultante se evalúa como siempre verdadero, otorgando al atacante estado autenticado como el primer usuario en el árbol LDAP, a menudo una cuenta de administrador. La  guía de pruebas documenta esto como el análogo directo a las técnicas de elusión de autenticación por inyección SQL.

Inyección LDAP ciega

Cuando las aplicaciones no muestran directamente los resultados de la consulta, los atacantes utilizan respuestas diferenciales para extraer datos. Inyectando condiciones de filtro como (attribute=a*), (attribute=b*) y observando si la aplicación devuelve un resultado o una página vacía, extraen valores de atributos carácter por carácter. La investigación presentada en el  artículo de Black Hat demostró que los filtros del lado del cliente que limitan la información mostrada no previenen las técnicas de inyección ciega.

Manipulación de Distinguished Name

LDAP tiene contextos de escape distintos, y confundirlos crea vectores de inyección. Los filtros de búsqueda requieren escape según RFC 4515 (*→\2a, (→\28, )→\29). Los Distinguished Names (DN) requieren escape según RFC 2253 (\, #, +, <, >, ,, ;, ", =). Aplicar el contexto de escape incorrecto al campo incorrecto deja su aplicación vulnerable incluso cuando cree haber resuelto el problema.

Estos tipos de ataque comparten causas raíz comunes que van más allá de la sintaxis.

Causas de la inyección LDAP

Las vulnerabilidades de inyección LDAP provienen de una combinación de prácticas de codificación, limitaciones de bibliotecas y errores de configuración de infraestructura. Cada causa raíz crea un camino independiente hacia la explotación.

• Concatenación directa de cadenas. La causa inmediata en casi todas las vulnerabilidades de inyección LDAP es la concatenación de datos controlados por el usuario directamente en cadenas de filtro LDAP en la capa de aplicación. Las bibliotecas LDAP históricamente carecen de soporte integrado para consultas parametrizadas, requiriendo que los desarrolladores sigan la  guía manual para la construcción segura de consultas. Existen interfaces parametrizadas pero requieren adopción deliberada.
• Manejo incorrecto de caracteres especiales. Las aplicaciones que intentan validar la entrada a menudo implementan listas de denegación incompletas que omiten caracteres peligrosos. Una lista de denegación que bloquea * y ( pero omite ) o bytes NUL aún deja una brecha explotable.  MITRE CWE-90 identifica la inyección LDAP como resultado de este fallo, lo que significa que la vulnerabilidad de inyección surge directamente de la gestión incorrecta de caracteres especiales.
• Confusión de contexto de escape. La  hoja de referencia LDAP documenta que aplicar el escape de filtro de búsqueda a campos DN, o el escape de DN a campos de filtro de búsqueda, crea vectores de inyección por selección de contexto incorrecta. Si sus desarrolladores saben que deben escapar pero eligen la función incorrecta, su aplicación sigue siendo vulnerable.
• Configuraciones de bind anónimo y no autenticado. Los servidores LDAP configurados para permitir bind anónimo permiten a los atacantes eludir la autenticación de bind por completo.
• Uso generalizado de LDAP para autenticación. El papel de LDAP como columna vertebral de autenticación en entornos empresariales significa que la inyección contra flujos de inicio de sesión produce el resultado de mayor consecuencia: acceso autenticado a recursos empresariales. La superficie de ataque es de alcance empresarial por diseño arquitectónico.

Estas causas se combinan para crear riesgos que van mucho más allá de una sola consulta comprometida.

Impacto y riesgo de la inyección LDAP

Los ataques de inyección LDAP pueden producir varias categorías de impacto empresarial, cada una aumentando en gravedad.

Elusión de autenticación

Una inyección de filtro siempre verdadero otorga acceso autenticado inmediato. CVE-2023-4501 en OpenText Enterprise Server permitía que la autenticación tuviera éxito con cualquier nombre de usuario válido independientemente de si la contraseña era correcta, y también podía tener éxito con un nombre de usuario no válido y cualquier contraseña. Esto afectó entornos empresariales de desarrollo y ejecución COBOL desplegados en servicios financieros, seguros y gobierno.

Exfiltración de datos sensibles

Los directorios LDAP contienen credenciales de usuario, hashes de contraseñas, direcciones de correo electrónico, jerarquías organizativas, membresías de grupos, ACLs, cuentas de computadoras y  identificadores de seguridad. Un  aviso de CISA documentó una sola consulta LDAP que recuperaba información sobre usuarios, computadoras, grupos, ACLs, OUs y GPOs de un directorio empresarial.

Escalada de privilegios

Una inyección exitosa puede otorgar permisos para consultas no autorizadas y permitir la modificación de contenido dentro del árbol LDAP. CVE-2026-31828 en Parse Server permitía a usuarios autenticados de bajo privilegio escalar a cualquier grupo restringido mediante inyección de filtro LDAP.

Denegación de servicio

CVE-2025-12764 (pgAdmin) demostró la inyección LDAP utilizada para forzar al servidor y cliente DC/LDAP a procesar una cantidad inusual de datos, causando una denegación de servicio contra la infraestructura de directorio con fallos de autenticación en cascada.

Habilitación de movimiento lateral

La enumeración LDAP alimenta el reconocimiento de Active Directory. El aviso del equipo rojo de CISA documentó que los datos LDAP permitieron mapear usuarios, computadoras, grupos, ACLs, OUs y GPOs, todos los cuales sirven como insumos para la planificación de  movimiento lateral. La empresa evaluada no tenía visibilidad para esta actividad.

OWASP califica la explotabilidad de la inyección en 3 (Fácil) y el impacto técnico en 3 (Grave) en su  marco OWASP. La inyección LDAP también conlleva consecuencias directas de cumplimiento:  PCI DSS 6.5.1 nombra explícitamente la inyección LDAP junto con la inyección SQL y XPath como objetivo de evaluación obligatoria.

Comprender el impacto le ayuda a priorizar defensas, pero también necesita saber exactamente cómo los atacantes encuentran y aprovechan estas fallas.

Cómo los atacantes explotan la inyección LDAP

Los atacantes siguen una metodología estructurada para encontrar y explotar vulnerabilidades de inyección LDAP, avanzando desde el reconocimiento hasta la extracción completa de credenciales.

Paso 1: Identificar puntos de entrada integrados con LDAP

El atacante identifica funciones de la aplicación que probablemente consulten un backend LDAP. Según el  blog de SANS sobre LDAP, LDAP puede usarse para gestión, autenticación y consulta de objetos de una base de datos de directorio. Formularios de inicio de sesión, páginas de búsqueda de usuarios, flujos de restablecimiento de contraseña, búsquedas de directorio corporativo y portales de VPN son todas superficies candidatas.

Paso 2: Sondear puntos de inyección

La  prueba LDAP de OWASP instruye a los evaluadores a insertar caracteres (, |, &, * para comprobar respuestas diferenciales. Mensajes de error, conjuntos de resultados vacíos o cambios en el comportamiento de la aplicación confirman un parámetro vulnerable.

Paso 3: Inferir la estructura del filtro

Sin código fuente, los atacantes infieren la estructura del filtro LDAP mediante fuzzing. SANS señala: "Es poco probable durante una prueba de penetración que tenga el código fuente para ver estas sentencias. En estas situaciones, puede ser necesario emplear fuzzing y reconocimiento."

Paso 4: Crear cargas útiles de inyección

Las cargas útiles comunes incluyen:

• Inyección de comodín (*) para recuperar todas las entradas del directorio
• Filtros siempre verdaderos ()(uid=))(|(uid=*) para eludir la autenticación
• Inyección de atributo basada en OR ()(department=it)(|(cn=) para recolectar credenciales en múltiples atributos
• Terminación de clase de objeto nula (*)(objectClass=*))(& (objectClass=void) para establecer un oráculo booleano confiable para extracción ciega

La carga útil específica depende de la estructura del filtro que el atacante ha inferido durante el reconocimiento.

Paso 5: Escalar mediante cadenas de ataque

Una cadena de ataque típica documentada en fuentes de OWASP y MITRE ATT&CK sigue esta progresión:

1. Eludir el inicio de sesión usando un filtro siempre verdadero
2. Extraer credenciales de dominio mediante inyección basada en OR
3. Crear cuentas de dominio mediante ldapmodify (ATT&CK T1136.002)
4. Volcar NTDS.dit para descifrado de credenciales fuera de línea (ATT&CK T1003.003)

La inyección LDAP ciega permite una cadena paralela donde los atacantes enumeran atributos de esquema usando sondas (attribute=*) y luego extraen valores carácter por carácter, incluidos hashes de contraseñas, membresías de grupos e identificadores de seguridad.

Estos patrones de explotación afectan a una amplia gama de organizaciones y tipos de aplicaciones.

¿Quiénes se ven afectados por la inyección LDAP?

Cualquier organización que dependa de autenticación respaldada por LDAP enfrenta una exposición estructural a esta vulnerabilidad. OWASP señala que las vulnerabilidades de inyección son "muy prevalentes particularmente en  código heredado."

Tipos de aplicaciones con mayor exposición incluyen:

• Aplicaciones web con autenticación respaldada por LDAP (portales de inicio de sesión, sistemas SSO)
• Aplicaciones empresariales heredadas que usan consultas LDAP concatenadas como cadenas
• Portales de restablecimiento de contraseña de autoservicio y directorios de empleados
• Portales de acceso remoto y gateways VPN
• Plataformas de gestión de sistemas de control industrial
• Aplicaciones de escritorio (OWASP Desktop App Security Top 10 enumera la inyección LDAP bajo  DA1 Injections)

Industrias con riesgo concentrado incluyen:

• Salud: Los sistemas EHR y clínicos respaldados por LDAP enfrentan cumplimiento HIPAA por vulnerabilidades no corregidas, con HHS documentando  datos de brechas de HHS en grandes incidentes entre 2018 y 2022.
• Servicios financieros: La inyección sigue siendo una superficie de ataque relevante para sistemas empresariales vinculados a identidad en este sector.
• Gobierno e Infraestructura Crítica: CISA ha documentado explotación activa en entornos gubernamentales y plataformas ICS del sector energético.
• Software y Tecnología: Backends de código abierto, herramientas de bases de datos y plataformas de desarrollo continúan produciendo nuevos CVEs de inyección LDAP.

La inyección LDAP afecta a una amplia gama de software, abarcando entornos COBOL empresariales, herramientas de administración de bases de datos, plataformas del sector energético y backends de código abierto. Estos no son riesgos hipotéticos; incidentes recientes los confirman.

Ejemplos reales de inyección LDAP

Los siguientes casos ilustran cómo la inyección LDAP se manifiesta en redes gubernamentales, plataformas empresariales y herramientas de código abierto.

CISA Red Team: Empresa sin visibilidad LDAP (2024)

Una  evaluación de CISA encontró que la empresa evaluada "no tenía monitoreo para tráfico LDAP anómalo." El equipo consultó LDAPS para recopilar información sobre usuarios, computadoras, grupos, ACLs, OUs y GPOs. CISA declaró explícitamente que un usuario no privilegiado consultando LDAP desde un host de dominio Linux "debería haber alertado a los defensores de la red."

OpenText Enterprise Server: Elusión completa de autenticación (CVE-2023-4501)

Esta vulnerabilidad permitía que la autenticación tuviera éxito con cualquier nombre de usuario válido independientemente de la contraseña, y también podía tener éxito con un nombre de usuario no válido. Afectó entornos empresariales de desarrollo y ejecución COBOL desplegados en servicios financieros, seguros e integración de mainframe gubernamental.

Ivanti EPMM: Actores de amenazas extraen credenciales LDAP (2025)

Tras la publicación de una prueba de concepto en mayo de 2025, actores de amenazas obtuvieron acceso a un servidor Ivanti EPMM y  extrajeron credenciales LDAP. CISA añadió las vulnerabilidades subyacentes al catálogo KEV el 19 de mayo de 2025.

Redash: Inyección LDAP habilitando Password Spraying (CVE-2020-36144)

GitHub Security Lab documentó que el campo de correo electrónico en la autenticación LDAP de Redash formateaba una cadena de filtro LDAP sin escape, permitiendo a un atacante no autenticado forzar contraseñas de todos los usuarios con una sola solicitud.

Estos incidentes abarcan décadas de desafíos de seguridad LDAP.

Línea de tiempo e historia de la inyección LDAP

La inyección LDAP ha sido una clase de vulnerabilidad conocida durante más de dos décadas, con clasificación formal y divulgaciones CVE continuas desde finales de los años noventa hasta la actualidad.

• Orígenes del protocolo. El Protocolo de Acceso a Directorios X.500 (DAP) fue desarrollado por ITU-T. LDAP v1 apareció en RFC 1487, v2 en RFC 1777 y v3 en RFC 2251, que sigue siendo la versión en uso empresarial hoy en día.
• Primer problema documentado. CVE-1999-0895 documentó un problema temprano de seguridad de autenticación LDAP en Checkpoint FireWall-1 V4.0.
• Clasificación formal. OWASP documentó formalmente la inyección LDAP como una clase de ataque distinta. El OWASP Top 10 de 2007 la mapeó bajo A2, Fallos de Inyección.
• Investigación de inyección ciega. Alonso et al. presentaron investigación sistemática de  inyección LDAP ciega en Black Hat Europe, demostrando extracción de datos carácter por carácter.
• Pico de prioridad OWASP. OWASP Top 10 2017 clasificó la Inyección como A1, el principal riesgo de aplicaciones web, nombrando explícitamente la inyección LDAP.
• Objetivo ICS. CVE-2018-14805 (ABB eSOMS) llevó la inyección LDAP al espacio ICS del sector energético.
• Objetivo de plataformas empresariales. ForgeRock OpenAM, OpenLDAP y OpenText Enterprise Server demostraron impacto empresarial continuo.
• Divulgación reciente. Nuevos CVEs en los últimos años afectan a Apache Druid, WatchGuard Fireware, WeKan, Parse Server, Dell PowerMax y pgAdmin.

Siguen apareciendo nuevos CVEs, lo que hace que el monitoreo continuo sea un requisito práctico.

Cómo detectar la inyección LDAP

Necesita monitoreo en capas a través de los niveles de aplicación, directorio y red.

Indicadores a nivel de aplicación

Monitoree los campos de entrada de usuario en busca de metacaracteres LDAP: *, (, ), \ y bytes NUL en parámetros de autenticación y búsqueda. Observe conjuntos de resultados LDAP anormalmente grandes que sugieran inyección de comodín devolviendo todas las entradas del directorio. El éxito de autenticación inmediatamente después de una consulta malformada indica un patrón de elusión de autenticación.

Indicadores a nivel de servidor LDAP

Busque estructuras de filtro que contengan secuencias )( o |(, que indican manipulación de grupos de filtro. Consultas que devuelven todas las entradas mediante (objectClass=*) o (cn=*) sugieren enumeración por comodín. El bind anónimo seguido de operaciones de búsqueda amplias indica intentos de reconocimiento no autenticado.

Monitoreo de SIEM y registros de eventos

Para entornos Active Directory, dos IDs de evento de Windows son críticos:

• ID de evento 4662: Operaciones realizadas sobre objetos de AD. Monitoree acciones Write Property, Control Access, DELETE, WRITE_DAC y WRITE_OWNER.
• ID de evento 1644: Consultas LDAP costosas o ineficientes, que los intentos de inyección suelen producir.

Según la  guía de NCC Group: "Busque filtros de búsqueda inusuales en los registros. Los atacantes suelen usar filtros específicos para enumerar usuarios, grupos y computadoras."

Patrones de correlación de comportamiento

Correlacione entre fuentes de datos para encontrar campañas de inyección:

• Alto volumen de consultas LDAP desde una sola IP de origen (herramientas de inyección)
• Enumeración secuencial de atributos: uid=a*, uid=b* (extracción por inyección ciega)
• Contraseña fallida seguida de éxito inmediato de inicio de sesión (confirmación de elusión de autenticación)
• Host de dominio Linux no privilegiado realizando consultas LDAP masivas (el patrón exacto documentado por CISA)

Correlacionar estas señales entre fuentes le da una imagen más clara de campañas activas de inyección que cualquier indicador individual.

Monitoreo a nivel WAF

OWASP ModSecurity Core Rule Set incluye la Regla ID 921200 en REQUEST-921-PROTOCOL-ATTACK.conf, que apunta a la inyección LDAP con severidad CRITICAL y Paranoia Level 1 (habilitado por defecto). La regla inspecciona cookies de solicitud, nombres de argumentos, valores de argumentos y cuerpos XML en busca de patrones de metacaracteres de filtro LDAP.

Encontrar actividad sospechosa es insuficiente sin controles de prevención adecuados.

Cómo prevenir la inyección LDAP

La prevención requiere un enfoque de defensa en profundidad que abarque los niveles de código, configuración e infraestructura.

Defensas a nivel de código

• Utilice consultas LDAP parametrizadas. La defensa más eficaz es pasar la entrada del usuario como parámetros en lugar de concatenarla en cadenas de filtro:

• Aplique escape apropiado al contexto. Utilice la función de escape correcta para el contexto LDAP adecuado. Para filtros de búsqueda (RFC 4515), escape *→\2a, (→\28, )→\29, \→\5c, NUL→\00. Para Distinguished Names (RFC 2253), escape \, #, +, <, >, ,, ;, ", = y espacios iniciales/finales.

Las implementaciones específicas por lenguaje incluyen:

• Implemente validación por lista de permitidos. Valide la entrada contra patrones esperados antes de cualquier operación LDAP. Rechace entradas que contengan metacaracteres no esperados en el campo. Normalice la entrada (canonalización Unicode) antes de la validación según la  hoja de referencia OWASP.

Endurecimiento de infraestructura

• Deshabilite el bind anónimo y no autenticado. Esta sola acción elimina la causa raíz detrás de múltiples vulnerabilidades críticas.
• Utilice LDAPS (puerto 636). Deshabilite LDAP en texto claro (puerto 389) según  NIST SP 1800-16.
• Aplique ACLs de mínimo privilegio a las cuentas de servicio de bind LDAP. Restringiéndolas solo a las operaciones y subárboles de directorio requeridos.
• Segmente la infraestructura LDAP del acceso general a la red según  NIST SP 1800-18B.

Estos controles reducen la superficie de ataque disponible para un atacante que acceda a su infraestructura LDAP.

Integración en el pipeline CI/CD

Integre análisis estático (SAST) y análisis dinámico (DAST) en su pipeline de desarrollo. El  OWASP Top 10 recomienda incluir herramientas SAST, DAST e IAST para identificar  fallos de inyección antes del despliegue en producción. El modo de análisis de taint de Semgrep puede rastrear la entrada no confiable desde fuentes hasta sinks sin saneamiento usando reglas personalizadas dirigidas a la construcción de consultas LDAP.

Estas medidas de prevención funcionan mejor cuando se respaldan con las herramientas adecuadas.

Herramientas para detección y prevención

Una defensa eficaz contra la inyección LDAP requiere una combinación de herramientas de escaneo, monitoreo y protección en tiempo de ejecución.

• OWASP ZAP proporciona escaneo activo para inyección LDAP mediante la  Alerta ZAP 40015 (CWE-90, WASC-29). Instale a través de las reglas Alpha del Marketplace de ZAP y configure el targeting tecnológico para incluir Protocolo / LDAP en aplicaciones con integración LDAP.
• OWASP ModSecurity CRS ofrece protección a nivel de WAF mediante la  Regla CRS 921200, que se ejecuta en Paranoia Level 1 por defecto. La regla inspecciona cookies, argumentos y cargas XML en busca de firmas de manipulación de filtros LDAP. Las cargas de prueba de regresión CRS de  CRS Issue 276 proporcionan una lista de palabras de fuzzing lista para validación WAF.
• Semgrep admite análisis estático de taint mediante reglas mode: taint que rastrean datos no confiables desde  fuentes de entrada hasta sinks de consulta LDAP, señalando rutas de inyección antes de que el código llegue a producción.
• Plataformas SIEM con reglas de identificación personalizadas pueden monitorear los IDs de evento de Windows 4662 y 1644, correlacionar patrones anómalos de consultas LDAP y alertar sobre indicadores de comportamiento como enumeración secuencial de atributos o consultas masivas desde hosts no privilegiados.

Estas herramientas abordan capas individuales del problema. Un enfoque de plataforma las integra.

Vulnerabilidades relacionadas

Varias clases de vulnerabilidad comparten este patrón con la inyección LDAP:

• Inyección SQL (CWE-89): El análogo más cercano. Ambas explotan entrada no saneada en lenguajes de consulta, y la elusión de autenticación es posible mediante técnicas similares. La sintaxis y los sistemas objetivo difieren significativamente.
• Inyección de comandos del SO (CWE-78): Comparte el mismo Software Fault Pattern (SFP24, "Entrada contaminada a comando") con CWE-90 según MITRE. Apunta al sistema operativo anfitrión en lugar de servicios de directorio.
• Inyección XPath (CWE-643): La  prueba LDAP de OWASP agrupa explícitamente la inyección XPath junto con la inyección LDAP como técnicas análogas de elusión de autenticación dirigidas a almacenes de datos basados en XML.
• Neutralización incorrecta de elementos especiales (CWE-77): La debilidad padre de CWE-90 en la jerarquía de MITRE. Todos los tipos de inyección descienden de este fallo generalizado de neutralizar caracteres significativos para el intérprete.
• Codificación o escape incorrecto de salida (CWE-116): Documenta la cadena directa desde el fallo de escape hasta la inyección. CVE-2021-41232 demuestra la cadena CWE-116 → CWE-90 donde un fallo de escape en una aplicación Go permitió directamente la inyección LDAP.
• Validación incorrecta de entrada (CWE-20): La causa raíz cuando las aplicaciones no validan el formato de entrada antes de construir consultas LDAP.

Revisar estos tipos de debilidades relacionadas le ayuda a aplicar los mismos principios defensivos en toda su base de código, no solo en rutas de código específicas de LDAP.

CVEs relacionados

Conclusión

La inyección LDAP da a los atacantes una forma de convertir entrada no confiable en control sobre los sistemas de directorio de los que depende su entorno para autenticación y acceso. Para usted, eso significa que el riesgo rara vez se limita a una consulta o una aplicación. 

Si construye consultas de forma segura, escapa valores en el contexto correcto, restringe permisos de bind y monitorea de cerca la actividad LDAP, reduce tanto la exposición como el margen de maniobra de los atacantes.