PT-2022-8909 · Liferay · Liferay Portal Server
CVE-2020-28884
·
Publicado
2022-01-28
·
Atualizado
2024-08-04
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Liferay Portal Server, versões 7.2.0 GA1 a 7.3.5 GA6
Descrição
A vulnerabilidade permite que um usuário administrador injete um script Groovy, possibilitando a execução de qualquer comando do sistema operacional no Liferay Portal Server. Isso é contestado pelo desenvolvedor, pois é considerado um recurso para que administradores executem scripts Groovy, e não uma falha de design.
Recomendações
Para as versões 7.2.0 GA1 a 7.3.5 GA6, considere restringir a capacidade de injetar scripts Groovy para minimizar o risco de execução não autorizada de comandos do sistema operacional.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Portal Server