It was identified that the LDAP client implementation in version 2.1.7 does not verify if the server certificate matches the intended LDAP
hostname. While the underlying code validates the certificate chain
against a trusted authority, the absence of endpoint identification
allows a valid certificate issued for an entirely unrelated host to be
improperly accepted. This oversight leaves the connection highly
vulnerable to server impersonation and complete connection compromise.
The
root cause of this vulnerability lies in the incomplete TLS server
identity verification within the LDAP client implementation.
The attacker requires MITM capability on the network to exploit this vulnerability. This attacker must be able to present a certificate trusted by the client's configured trust store.
The hostname verification has been enforced in the new version of the LDAP API
CVE-2026-35563 is a TLS certificate validation vulnerability in LDAP client version 2.1.7 that fails to verify hostname matching, allowing attackers with MITM capabilities to impersonate LDAP servers using valid certificates for unrelated hosts. This vulnerability enables complete connection compromise and server impersonation attacks against organizations relying on LDAP for authentication and directory services.
تفشل نسخة 2.1.7 من عميل LDAP في التحقق من أن شهادة خادم TLS تطابق اسم المضيف المقصود، على الرغم من التحقق من سلسلة الشهادات مقابل سلطة موثوقة. يسمح هذا النقص في التحقق من هوية نقطة النهاية لشهادة صحيحة صادرة لمضيف غير ذي صلة بأن يتم قبولها بشكل غير صحيح. يتطلب الاستغلال قدرات MITM على الشبكة وشهادة موثوقة من مخزن الثقة المكون للعميل.
CVE-2026-35563 هي ثغرة في التحقق من شهادات TLS في عميل LDAP الإصدار 2.1.7 التي تفشل في التحقق من تطابق اسم المضيف، مما يسمح للمهاجمين بقدرات MITM بانتحال خوادم LDAP باستخدام شهادات صحيحة لمضيفين غير ذات صلة. تمكن هذه الثغرة من المساس الكامل بالاتصال وهجمات انتحال الخادم ضد المنظمات التي تعتمد على LDAP للمصادقة والخدمات الدليلية.
Immediately upgrade LDAP client implementation to version 2.1.8 or later that enforces hostname verification. Implement network segmentation to restrict LDAP traffic to trusted internal networks only. Deploy certificate pinning for critical LDAP connections. Monitor LDAP authentication logs for suspicious certificate presentations. Conduct a security audit of all LDAP deployments to identify affected versions.
قم بترقية تطبيق عميل LDAP فوراً إلى الإصدار 2.1.8 أو أحدث الذي يفرض التحقق من اسم المضيف. قم بتطبيق تقسيم الشبكة لتقييد حركة LDAP إلى الشبكات الداخلية الموثوقة فقط. قم بنشر تثبيت الشهادة للاتصالات LDAP الحرجة. راقب سجلات مصادقة LDAP للكشف عن عروض الشهادات المريبة. أجرِ تدقيقاً أمنياً لجميع نشرات LDAP لتحديد الإصدارات المتأثرة.