Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-f43m-hhj4-q3jg

Опубликовано: 15 нояб. 2022
Источник: github
Github: Прошло ревью
CVSS3: 5.9

Описание

Liferay Portal and Liferay DXP Includes LDAP Credentials in the Page URL

The Test LDAP Users functionality in Liferay Portal 7.0.0 through 7.4.3.4, and Liferay DXP 7.0 fix pack 102 and earlier, 7.1 before fix pack 27, 7.2 before fix pack 17, 7.3 before update 4, and DXP 7.4 GA includes the LDAP credential in the page URL when paginating through the list of users, which allows man-in-the-middle attackers or attackers with access to the request logs to see the LDAP credential.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.portal.bom

maven
Затронутые версииВерсия исправления

>= 7.0.0, < 7.4.3.5-ga5

7.4.3.5-ga5

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.0.0, <= 7.0.10.fp102

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.1.0, < 7.1.10.fp27

7.1.10.fp27

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.2.0, < 7.2.10.fp17

7.2.10.fp17

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.3.0, < 7.3.10.u4

7.3.10.u4

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

= 7.4.0.ga1

Отсутствует

Наименование

com.liferay:com.liferay.portal.settings.authentication.ldap.web

maven
Затронутые версииВерсия исправления

< 5.0.13

5.0.13

EPSS

Процентиль: 55%
0.00328
Низкий

5.9 Medium

CVSS3

CVE ID

CVE-2022-42132

Дефекты

CWE-200
CWE-522

Связанные уязвимости

nvd логотип

CVE-2022-42132

CVSS3: 5.9
nvd
около 3 лет назад

The Test LDAP Users functionality in Liferay Portal 7.0.0 through 7.4.3.4, and Liferay DXP 7.0 fix pack 102 and earlier, 7.1 before fix pack 27, 7.2 before fix pack 17, 7.3 before update 4, and DXP 7.4 GA includes the LDAP credential in the page URL when paginating through the list of users, which allows man-in-the-middle attackers or attackers with access to the request logs to see the LDAP credential.

EPSS

Процентиль: 55%
0.00328
Низкий

5.9 Medium

CVSS3

CVE ID

CVE-2022-42132

Дефекты

CWE-200
CWE-522