PT-2024-20779 · Liferay · Liferay Portal+1
Publicado
2024-02-08
·
Atualizado
2024-02-15
·
CVE-2024-25146
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Liferay Portal de 7.2.0 a 7.4.1
Versões do Liferay DXP 7.3 anteriores ao Service Pack 3
Versões do Liferay DXP 7.2 anteriores ao Fix Pack 18
Versões antigas e sem suporte do Liferay Portal
Versões antigas e sem suporte do Liferay DXP
Descrição
A vulnerabilidade permite que invasores remotos descubram a existência de sites por meio da enumeração de URLs, devido a respostas diferentes dependendo se um site não existe ou se o usuário não tem permissão para acessá-lo. Isso ocorre quando
locale.prepend.friendly.url.style=2 e uma página 404 personalizada é utilizada.Recomendações
Para as versões 7.2.0 a 7.4.1 do Liferay Portal, considere atualizar para uma versão que inclua a correção para este problema.
Para as versões 7.3 do Liferay DXP anteriores ao Service Pack 3, aplique o Service Pack 3 para resolver o problema.
Para as versões 7.2 do Liferay DXP anteriores ao Fix Pack 18, aplique o Fix Pack 18 para resolver o problema.
Para versões mais antigas e sem suporte do Liferay Portal e do Liferay DXP, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Como solução alternativa temporária, considere definir
locale.prepend.friendly.url.style para um valor diferente de 2 ou evitar o uso de páginas 404 personalizadas até que um patch esteja disponível.Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal