PT-2022-25151 · Liferay · Liferay Portal+1
4Rth4S
·
Publicado
2022-09-21
·
Atualizado
2022-09-23
·
CVE-2022-39975
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Liferay Portal 7.3.3 a 7.4.3.34
Versões do Liferay DXP 7.3 anteriores à atualização 10
Versões do Liferay DXP 7.4 anteriores à atualização 35
Descrição
O módulo Layout no Liferay Portal não verifica a permissão do usuário antes de exibir a pré-visualização de uma página do tipo “Página de Conteúdo”, permitindo que invasores visualizem páginas “Página de Conteúdo” não publicadas por meio da manipulação de URL.
Recomendações
Para as versões do Liferay Portal 7.3.3 a 7.4.3.34, atualize para uma versão que inclua a correção para este problema.
Para as versões 7.3 do Liferay DXP anteriores à atualização 10, aplique a atualização 10 ou posterior para resolver o problema.
Para as versões 7.4 do Liferay DXP anteriores à atualização 35, aplique a atualização 35 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao módulo Layout até que um patch esteja disponível.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal