Credenciales LDAP expuestas en Liferay

Fecha de publicación
20/10/2022
Importancia
5 - Crítica
Recursos Afectados

La funcionalidad Test LDAP Users en Liferay Portal 7.0.0 a 7.4.3.4.

Descripción

Se ha identificado una vulnerabilidad crítica que incluye credenciales del protocolo LDAP en la URL al paginar la lista de usuarios.

Solución

Las implementaciones de Liferay Portal que no utilicen HTTPS deben cambiar la contraseña de LDAP de inmediato. Todas las implementaciones de Liferay Portal que utilizan LDAP deben revisar los registros de solicitud y verificar si la contraseña de LDAP aparece en los registros.

No hay parche disponible para Liferay Portal 7.3 y 7.4. En su lugar, los usuarios deben actualizar a Liferay Portal 7.4 GA5 (7.4.3.5) o posterior.

Detalle

La vulnerabilidad podría permitir la visualización de credenciales LDAP mediante ataques MitM (man-in-the-middle) o a atacantes con acceso a los registros de solicitudes. Se ha asignado la vulnerabilidad CVE-2022-42132 para esta vulnerabilidad.

Encuesta valoración

Ir arriba