PT-2021-18040 · Liferay · Liferay Dxp
Publicado
2021-05-16
·
Atualizado
2022-05-24
·
CVE-2021-29041
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
**Nome do software vulnerável e versões afetadas:
Liferay DXP versão 7.3 anterior ao pacote de correções 1
Descrição:
Existe uma vulnerabilidade de negação de serviço no módulo de Autenticação Multifatorial, permitindo que invasores remotos autenticados impeçam a autenticação do usuário. Isso pode ser feito ativando a senha de uso único baseada em tempo (TOTP) em nome de outro usuário ou modificando o segredo compartilhado TOTP de outro usuário.
Recomendações:
Para o Liferay DXP versão 7.3 anterior ao fix pack 1, aplique o fix pack 1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao módulo de Autenticação Multifatorial para minimizar o risco de exploração.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp