4Rth4S

**Nome do Software Vulnerável e Versões Afetadas** Liferay Portal versões 7.3 GA até o Update 35 Liferay Portal versões 7.4.0 até 7.4.3.109 Liferay DXP versões 2023.Q3.1 até 2023.Q3.4 Liferay Portal 7.4 GA até o Update 92 **Descrição** O software não restringe o acesso às APIs antes que um usuário tenha verificado seu endereço de e-mail. Isso permite que usuários remotos acessem e editem conteúdo via API. **Recomendações** Atualize o Liferay Portal para uma versão posterior ao Update 92. Atualize o Liferay DXP para uma versão posterior à 2023.Q3.4. Atualize o Liferay Portal versão 7.3 para uma versão posterior ao Update 35. Atualize o Liferay Portal versão 7.4 para uma versão posterior à 7.4.3.109.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal 7.3 GA até a atualização 35 Versões do Liferay Portal 7.4.0 até 7.4.3.111 Versões do Liferay DXP 2023.Q3.1 até 2023.Q3.4 Versão do Liferay DXP 2023.Q4.0 Liferay Portal 7.4 GA até a atualização 92 **Descrição** O software não restringe o acesso às APIs antes de o usuário alterar sua senha inicial, potencialmente permitindo que usuários remotos acessem e editem conteúdo via API. **Recomendações** Atualize as versões do Liferay Portal anteriores a 7.4.3.111. Atualize as versões do Liferay DXP anteriores a 2023.Q4.0. Atualize as versões do Liferay Portal anteriores à atualização 92 do 7.4 GA. Atualize as versões do Liferay Portal anteriores à atualização 35 do 7.3 GA.

Nome do Software Vulnerável e Versões Afetadas: Liferay Portal versões 7.4.0 até 7.4.3.124 Liferay DXP versões 2024.Q1.1 até 2024.Q1.12 Liferay DXP versões 7.4 atualização 81 até atualização 85 Descrição: O seletor de organizações não verifica as permissões do usuário, potencialmente permitindo que usuários autenticados remotos obtenham uma lista de todas as organizações. Recomendações: Atualize o Liferay Portal para uma versão posterior à 7.4.3.124. Atualize o Liferay DXP para uma versão posterior à 2024.Q1.12. Atualize o Liferay DXP para uma versão posterior à 7.4 atualização 85.

**Nome do software vulnerável e versões afetadas** Axe Credit Portal, versões 3.0 e posteriores **Descrição** A vulnerabilidade permite que invasores autenticados executem consultas não autorizadas e divulguem informações confidenciais de tabelas do banco de dados por meio de solicitações maliciosas, especificamente através da função “Salvar pesquisa favorita”. **Recomendações** Para o Axe Credit Portal versões 3.0 e posteriores, atualize para uma versão que inclua uma correção para este problema, a fim de evitar a exploração.

**Name of the Vulnerable Software and Affected Versions** Liferay Portal versions 7.4.3.81 through 7.4.3.85 Liferay DXP 7.4 update 81 through 85 **Description** The organization selector does not check user permission, allowing remote authenticated users to obtain a list of all organizations. **Recommendations** For Liferay Portal versions 7.4.3.81 through 7.4.3.85, consider restricting access to the organization selector until a patch is available. For Liferay DXP 7.4 update 81 through 85, consider restricting access to the organization selector until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Zoho ManageEngine ServiceDesk Plus versions prior to 14202 Zoho ManageEngine ServiceDesk Plus MSP versions prior to 14300 Zoho ManageEngine SupportCenter Plus versions prior to 14300 **Description** The issue allows unprivileged users to access the Reminders of a release ticket and make modifications due to a privilege escalation vulnerability in the Release module. **Recommendations** For Zoho ManageEngine ServiceDesk Plus versions prior to 14202, update to version 14202 or later. For Zoho ManageEngine ServiceDesk Plus MSP versions prior to 14300, update to version 14300 or later. For Zoho ManageEngine SupportCenter Plus versions prior to 14300, update to version 14300 or later.

**Nome do software vulnerável e versões afetadas** Liferay Portal, versões 7.4.3.5 a 7.4.3.36 Liferay DXP 7.4, atualizações 1 a 36 **Descrição** O problema diz respeito ao módulo Friendly Url, que não verifica adequadamente as permissões do usuário. Isso permite que invasores remotos obtenham o histórico de todas as URLs amigáveis atribuídas a uma página. **Recomendações** Para as versões do Liferay Portal 7.4.3.5 a 7.4.3.36, considere restringir o acesso ao módulo Friendly Url até que um patch esteja disponível. Para o Liferay DXP 7.4, atualizações 1 a 36, considere desativar o módulo Friendly Url como uma solução temporária para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Liferay Portal 7.3.3 a 7.4.3.34 Versões do Liferay DXP 7.3 anteriores à atualização 10 Versões do Liferay DXP 7.4 anteriores à atualização 35 **Descrição** O módulo Layout no Liferay Portal não verifica a permissão do usuário antes de exibir a pré-visualização de uma página do tipo “Página de Conteúdo”, permitindo que invasores visualizem páginas “Página de Conteúdo” não publicadas por meio da manipulação de URL. **Recomendações** Para as versões do Liferay Portal 7.3.3 a 7.4.3.34, atualize para uma versão que inclua a correção para este problema. Para as versões 7.3 do Liferay DXP anteriores à atualização 10, aplique a atualização 10 ou posterior para resolver o problema. Para as versões 7.4 do Liferay DXP anteriores à atualização 35, aplique a atualização 35 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao módulo Layout até que um patch esteja disponível.