PT-2022-17948 · Liferay · Liferay Portal+1
Publicado
2022-04-19
·
Atualizado
2024-01-31
·
CVE-2022-26595
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Liferay Portal 7.3.7 a 7.4.1
Versões do Liferay DXP 7.2 Fix Pack 13 a 7.3 Fix Pack 2
Descrição
O problema decorre de verificações inadequadas de permissão do usuário ao acessar uma lista de sites ou grupos. Isso permite que usuários autenticados remotamente visualizem sites ou grupos por meio da interface de usuário de atribuição de associação ao site do usuário.
Recomendações
Para as versões 7.3.7 a 7.4.1 do Liferay Portal, considere restringir o acesso à interface de usuário de atribuição de associação ao site até que um patch esteja disponível.
Para as versões do Liferay DXP 7.2 Fix Pack 13 a 7.3 Fix Pack 2, considere desativar o recurso de atribuição de associação a sites para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal