PT-2020-13546 · Liferay · Liferay Portal+1
Alvaro Munoz
+1
·
Publicado
2020-06-10
·
Atualizado
2022-05-24
·
CVE-2020-13445
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Liferay Portal anteriores à 7.3.2
Versões do Liferay DXP 7.0 anteriores ao fix pack 92
Versões do Liferay DXP 7.1 anteriores ao fix pack 18
Versões do Liferay DXP 7.2 anteriores ao fix pack 6
Descrição
A API de modelos não restringe o acesso do usuário a objetos confidenciais, permitindo que usuários autenticados remotamente executem código arbitrário por meio de modelos FreeMarker e Velocity maliciosos.
Recomendações
Para versões do Liferay Portal anteriores à 7.3.2, atualize para a versão 7.3.2 ou posterior.
Para versões do Liferay DXP 7.0 anteriores ao fix pack 92, aplique o fix pack 92 ou posterior.
Para versões do Liferay DXP 7.1 anteriores ao fix pack 18, aplique o fix pack 18 ou posterior.
Para versões do Liferay DXP 7.2 anteriores ao fix pack 6, aplique o fix pack 6 ou posterior.
Exploit
Correção
Special Elements Injection
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal