Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el módulo Portal Workflow en Liferay Portal y Liferay DXP (CVE-2021-33325)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-312 Almacenamiento de información sensible en texto claro
Fecha de publicación:
03/08/2021
Última modificación:
13/05/2025

Descripción

El módulo Portal Workflow en Liferay Portal versiones 7.3.2 y anteriores, y Liferay DXP versiones 7.0 anterior a fix pack 93, versiones 7.1 anterior a fix pack 19 y versiones 7.2 anterior a fix pack 7, unas contraseñas de texto sin cifrar de usuarios son almacenadas en la base de datos si el flujo de trabajo está habilitado para la creación de usuarios, que permite a atacantes con acceso a la base de datos obtener la contraseña de un usuario

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:liferay:digital_experience_platform:7.0:-:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_13:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_14:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_24:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_25:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_26:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_27:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_28:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_3:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_30:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_33:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_35:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_36:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_39:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.0:fix_pack_40:*:*:*:*:*:*