exploitDog

GHSA-43h9-p3j4-39hm

Опубликовано: 20 фев. 2024

Источник: github

Github: Прошло ревью

CVSS3: 8.1

Описание

Liferay Portal defaults to a low work factor for the default password hashing algorithm

The default password hashing algorithm (PBKDF2-HMAC-SHA1) in Liferay Portal 7.2.0 through 7.4.3.15, and older unsupported versions, and Liferay DXP 7.4 before update 16, 7.3 before update 4, 7.2 before fix pack 17, and older unsupported versions defaults to a low work factor, which allows attackers to quickly crack password hashes.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.3.0, < 7.3.10.u4

7.3.10.u4

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

< 7.2.10.fp17

7.2.10.fp17

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.4.0, < 7.4.13.u16

7.4.13.u16

Наименование

com.liferay.portal:release.portal.bom

maven

Затронутые версииВерсия исправления

< 7.4.3.14

7.4.3.14

Наименование

com.liferay.portal:com.liferay.portal.kernel

maven

Затронутые версииВерсия исправления

< 38.0.0

38.0.0

EPSS

Процентиль: 28%

0.00101

Низкий

8.1 High

CVSS3

CVE ID

Дефекты

CWE-916

Связанные уязвимости

CVE-2024-25607

CVSS3: 8.1

nvd

почти 2 года назад

The default password hashing algorithm (PBKDF2-HMAC-SHA1) in Liferay Portal 7.2.0 through 7.4.3.15, and older unsupported versions, and Liferay DXP 7.4 before update 16, 7.3 before update 4, 7.2 before fix pack 17, and older unsupported versions defaults to a low work factor, which allows attackers to quickly crack password hashes.

EPSS

Процентиль: 28%

0.00101

Низкий

8.1 High

CVSS3

CVE ID

Дефекты

CWE-916