PT-2022-8909 · Liferay · Liferay Portal Server

CVE-2020-28884

·

Publicado

2022-01-28

·

Atualizado

2024-08-04

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Liferay Portal Server, versões 7.2.0 GA1 a 7.3.5 GA6
Descrição
A vulnerabilidade permite que um usuário administrador injete um script Groovy, possibilitando a execução de qualquer comando do sistema operacional no Liferay Portal Server. Isso é contestado pelo desenvolvedor, pois é considerado um recurso para que administradores executem scripts Groovy, e não uma falha de design.
Recomendações
Para as versões 7.2.0 GA1 a 7.3.5 GA6, considere restringir a capacidade de injetar scripts Groovy para minimizar o risco de execução não autorizada de comandos do sistema operacional.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2020-28884

Produtos afetados

Liferay Portal Server