Inicio / Alerta Temprana / Avisos Seguridad / Credenciales LDAP expuestas en Liferay

Credenciales LDAP expuestas en Liferay

Fecha de publicación: 
20/10/2022
Identificador: 
INCIBA-2022-0979
Importancia: 
5 - Crítica
Recursos afectados: 

La funcionalidad Test LDAP Users en Liferay Portal 7.0.0 a 7.4.3.4.

Descripción: 

Se ha identificado una vulnerabilidad crítica que incluye credenciales del protocolo LDAP en la URL al paginar la lista de usuarios.

Solución: 

Las implementaciones de Liferay Portal que no utilicen HTTPS deben cambiar la contraseña de LDAP de inmediato. Todas las implementaciones de Liferay Portal que utilizan LDAP deben revisar los registros de solicitud y verificar si la contraseña de LDAP aparece en los registros.

No hay parche disponible para Liferay Portal 7.3 y 7.4. En su lugar, los usuarios deben actualizar a Liferay Portal 7.4 GA5 (7.4.3.5) o posterior.

Detalle: 

La vulnerabilidad podría permitir la visualización de credenciales LDAP mediante ataques MitM (man-in-the-middle) o a atacantes con acceso a los registros de solicitudes. Se ha asignado la vulnerabilidad CVE-2022-42132 para esta vulnerabilidad.

Encuesta valoración