PT-2022-26279 · Liferay · Liferay Portal+1
Publicado
2022-11-15
·
Atualizado
2025-04-30
·
CVE-2022-42132
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.0.0 a 7.4.3.4
Liferay DXP 7.0, fix pack 102 e anteriores
Liferay DXP 7.1, anteriores ao fix pack 27
Liferay DXP 7.2, anteriores ao fix pack 17
Liferay DXP 7.3 antes da atualização 4
Liferay DXP 7.4 GA
Descrição
A funcionalidade “Testar usuários LDAP” inclui as credenciais LDAP na URL da página ao paginar pela lista de usuários. Isso permite que invasores do tipo “man-in-the-middle” ou invasores com acesso aos logs de solicitação vejam as credenciais LDAP.
Recomendações
Para as versões do Liferay Portal de 7.0.0 a 7.4.3.4, atualize para uma versão posterior à 7.4.3.4 para resolver o problema.
Para o Liferay DXP 7.0, aplique o fix pack 103 ou posterior.
Para o Liferay DXP 7.1, aplique o fix pack 27 ou posterior.
Para o Liferay DXP 7.2, aplique o fix pack 17 ou posterior.
Para o Liferay DXP 7.3, aplique a atualização 4 ou posterior.
Para o Liferay DXP 7.4, atualize para uma versão posterior à 7.4 GA.
Como solução alternativa temporária, considere restringir o acesso à funcionalidade Testar usuários LDAP até que um patch esteja disponível.
Correção
Information Disclosure
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal