exploitDog

GHSA-xx2h-2hf5-v7vv

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 5.9

Описание

Liferay Portal and Liferay DXP May Reveal S3 Store's Proxy Password

The Portal Store module in Liferay Portal 7.0.0 through 7.3.5, and Liferay DXP 7.0 before fix pack 97, 7.1 before fix pack 21, 7.2 before fix pack 10 and 7.3 before fix pack 1 does not obfuscate the S3 store's proxy password, which allows attackers to steal the proxy password via man-in-the-middle attacks or shoulder surfing.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.portal.bom

maven

Затронутые версииВерсия исправления

>= 7.0.0, <= 7.3.5

7.3.6

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

< 7.0.10.fp97

7.0.10.fp97

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.1.0, < 7.1.10.fp21

7.1.10.fp21

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.2.0, < 7.2.10.fp10

7.2.10.fp10

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.3.0, < 7.3.10.fp1

7.3.10.fp1

EPSS

Процентиль: 43%

0.00204

Низкий

5.9 Medium

CVSS3

CVE ID

Дефекты

CWE-200

CWE-522

Связанные уязвимости

CVE-2021-29043

CVSS3: 5.9

nvd

больше 4 лет назад

The Portal Store module in Liferay Portal 7.0.0 through 7.3.5, and Liferay DXP 7.0 before fix pack 97, 7.1 before fix pack 21, 7.2 before fix pack 10 and 7.3 before fix pack 1 does not obfuscate the S3 store's proxy password, which allows attackers to steal the proxy password via man-in-the-middle attacks or shoulder surfing.

EPSS

Процентиль: 43%

0.00204

Низкий

5.9 Medium

CVSS3

CVE ID

Дефекты

CWE-200

CWE-522