PT-2024-21036 · Liferay · Liferay Portal+1
Publicado
2024-02-20
·
Atualizado
2024-12-11
·
CVE-2024-25607
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.2.0 a 7.4.3.15
Liferay DXP 7.4 antes da atualização 16
Liferay DXP 7.3 antes da atualização 4
Liferay DXP 7.2 antes do pacote de correções 17
Descrição
O algoritmo padrão de hash de senha (PBKDF2-HMAC-SHA1) no software afetado é configurado por padrão com um fator de trabalho baixo, o que permite que invasores quebrem rapidamente os hashes de senha. Esse problema afeta tanto o Liferay Portal quanto o Liferay DXP, com várias versões sendo impactadas.
Recomendações
Para as versões 7.2.0 a 7.4.3.15 do Liferay Portal, atualize para uma versão com um fator de trabalho mais alto para o algoritmo de hash de senha.
Para o Liferay DXP 7.4, aplique a atualização 16 para resolver o problema.
Para o Liferay DXP 7.3, aplique a atualização 4 para resolver o problema.
Para o Liferay DXP 7.2, aplique o fix pack 17 para corrigir a vulnerabilidade.
Como solução alternativa temporária, considere aumentar o fator de trabalho do algoritmo
PBKDF2-HMAC-SHA1 para torná-lo mais resistente à quebra.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal