PT-2024-10915 · Liferay · Liferay Portal+1
Duracell80
·
Publicado
2024-02-20
·
Atualizado
2025-05-13
·
CVE-2021-29038
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.2.0 a 7.3.5
Liferay DXP 7.3 antes do pacote de correções 1
Liferay DXP 7.2 antes do pacote de correções 17
Descrição
A vulnerabilidade permite que invasores utilizem ataques man-in-the-middle ou shoulder surfing para roubar as respostas de recuperação de senha do usuário, uma vez que essas respostas não são ofuscadas na página.
Recomendações
Para as versões do Liferay Portal 7.2.0 a 7.3.5, atualize para uma versão que inclua a correção para esta vulnerabilidade.
Para o Liferay DXP 7.3, aplique o fix pack 1 ou posterior.
Para o Liferay DXP 7.2, aplique o fix pack 17 ou posterior.
Como solução alternativa temporária, considere implementar medidas de segurança adicionais para proteção contra ataques man-in-the-middle e shoulder surfing, como o uso de HTTPS e a conscientização dos usuários sobre os riscos de usar computadores ou redes públicas para acessar informações confidenciais.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal