CVE-2021-29053

**Nome do software vulnerável e versões afetadas:

Liferay Portal versões 7.3.5 e anteriores

Liferay DXP versões 7.3 anteriores ao fix pack 1

Descrição:

A vulnerabilidade permite que usuários remotos autenticados executem comandos SQL arbitrários por meio do parâmetro classPKField em (1) CommerceChannelRelFinder.countByC C ou (2) CommerceChannelRelFinder.findByC C. Isso permite que invasores injetem código SQL malicioso, o que pode levar à adulteração de dados ou ao acesso não autorizado.

Recomendações:

Para o Liferay Portal versão 7.3.5, atualize para uma versão que inclua o fix pack 1 ou posterior para resolver o problema.

Para o Liferay DXP versão 7.3 anterior ao fix pack 1, aplique o fix pack 1 ou posterior para corrigir a vulnerabilidade.

Como solução temporária, considere restringir o acesso às funções CommerceChannelRelFinder.countByC C e CommerceChannelRelFinder.findByC C até que um patch esteja disponível.

Evite usar o parâmetro classPKField nos endpoints da API afetados até que o problema seja resolvido.