exploitDog

GHSA-mwhf-6mjm-6w3h

Опубликовано: 21 фев. 2024

Источник: github

Github: Прошло ревью

CVSS3: 6.3

Описание

Liferay Portal and Liferay DXP Does Not Obfuscate Password Reminder Answers

In Liferay Impl before 5.18.4, Liferay Users Admin Web before 5.0.33, Liferay Login Web before 5.0.18, and Liferay Commerce Account Web before 3.0.7 from Liferay Portal (7.2.0 through 7.3.5), and older unsupported versions, and Liferay DXP 7.3 before fix pack 1, 7.2 before fix pack 17, and older unsupported versions does not obfuscate password reminder answers on the page, which allows attackers to use man-in-the-middle or shoulder surfing attacks to steal user's password reminder answers.

Ссылки

Пакеты

Наименование

com.liferay.portal:portal-impl

maven

Затронутые версииВерсия исправления

< 5.18.4

5.18.4

Наименование

com.liferay:com.liferay.users.admin.web

maven

Затронутые версииВерсия исправления

< 5.0.33

5.0.33

Наименование

com.liferay:com.liferay.login.web

maven

Затронутые версииВерсия исправления

< 5.0.18

5.0.18

Наименование

com.liferay.commerce:com.liferay.commerce.account.web

maven

Затронутые версииВерсия исправления

< 3.0.7

3.0.7

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

< 7.2.10.fp17

7.2.10.fp17

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.3.0, < 7.3.10.fp1

7.3.10.fp1

EPSS

Процентиль: 27%

0.00094

Низкий

6.3 Medium

CVSS3

CVE ID

Дефекты

CWE-640

Связанные уязвимости

CVE-2021-29038

CVSS3: 6.3

nvd

почти 2 года назад

Liferay Portal 7.2.0 through 7.3.5, and older unsupported versions, and Liferay DXP 7.3 before fix pack 1, 7.2 before fix pack 17, and older unsupported versions does not obfuscate password reminder answers on the page, which allows attackers to use man-in-the-middle or shoulder surfing attacks to steal user's password reminder answers.

EPSS

Процентиль: 27%

0.00094

Низкий

6.3 Medium

CVSS3

CVE ID

Дефекты

CWE-640