Fecha de publicación: 20/10/2022
Importancia:
Crítica
Recursos afectados:
La funcionalidad Test LDAP Users en Liferay Portal 7.0.0 a 7.4.3.4.
Descripción:
Se ha identificado una vulnerabilidad crítica que incluye credenciales del protocolo LDAP en la URL al paginar la lista de usuarios.
Solución:
Las implementaciones de Liferay Portal que no utilicen HTTPS deben cambiar la contraseña de LDAP de inmediato. Todas las implementaciones de Liferay Portal que utilizan LDAP deben revisar los registros de solicitud y verificar si la contraseña de LDAP aparece en los registros.
No hay parche disponible para Liferay Portal 7.3 y 7.4. En su lugar, los usuarios deben actualizar a Liferay Portal 7.4 GA5 (7.4.3.5) o posterior.
Detalle:
La vulnerabilidad podría permitir la visualización de credenciales LDAP mediante ataques MitM (man-in-the-middle) o a atacantes con acceso a los registros de solicitudes. Se ha asignado la vulnerabilidad CVE-2022-42132 para esta vulnerabilidad.
Etiquetas:
Actualización, CMS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.