Credenciales LDAP expuestas en Liferay
Fecha de publicación
20/10/2022
Importancia
5 - Crítica
Recursos Afectados
La funcionalidad Test LDAP Users en Liferay Portal 7.0.0 a 7.4.3.4.
Descripción
Se ha identificado una vulnerabilidad crítica que incluye credenciales del protocolo LDAP en la URL al paginar la lista de usuarios.
Solución
Las implementaciones de Liferay Portal que no utilicen HTTPS deben cambiar la contraseña de LDAP de inmediato. Todas las implementaciones de Liferay Portal que utilizan LDAP deben revisar los registros de solicitud y verificar si la contraseña de LDAP aparece en los registros.
No hay parche disponible para Liferay Portal 7.3 y 7.4. En su lugar, los usuarios deben actualizar a Liferay Portal 7.4 GA5 (7.4.3.5) o posterior.
Detalle
Listado de referencias
Etiquetas