PT-2024-21321 · Liferay · Liferay Portal+1
Barnabás Horváth
+1
·
Publicado
2024-02-20
·
Atualizado
2025-01-28
·
CVE-2024-26268
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Liferay Portal de 7.2.0 a 7.4.3.26
Versões do Liferay DXP anteriores à 7.4, atualização 27
Versões do Liferay DXP anteriores à 7.3, atualização 8
Versões do Liferay DXP anteriores à 7.2, pacote de correções 20
Descrição
A vulnerabilidade permite que invasores remotos determinem se uma conta existe no aplicativo comparando o tempo de resposta da solicitação. Trata-se de uma vulnerabilidade de enumeração de usuários que pode ser explorada analisando-se o tempo que o aplicativo leva para responder às solicitações.
Recomendações
Para as versões do Liferay Portal 7.2.0 a 7.4.3.26, atualize para uma versão fora desse intervalo para resolver o problema.
Para versões do Liferay DXP anteriores à 7.4 atualização 27, aplique a atualização 27 ou posterior.
Para versões do Liferay DXP anteriores à 7.3 atualização 8, aplique a atualização 8 ou posterior.
Para versões do Liferay DXP anteriores ao 7.2 fix pack 20, aplique o fix pack 20 ou posterior.
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal