PT-2024-20782 · Liferay · Liferay Portal+1
Publicado
2024-02-20
·
Atualizado
2024-12-10
·
CVE-2024-25149
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.2.0 a 7.4.1
Liferay DXP 7.3 anterior ao Service Pack 3
Liferay DXP 7.2 anterior ao Fix Pack 15
Versões antigas e sem suporte do Liferay Portal
Versões antigas e sem suporte do Liferay DXP
Descrição
O problema decorre de uma restrição inadequada da adesão a um site filho quando a opção “Limitar adesão aos membros do site pai” está ativada. Isso permite que usuários remotos autenticados adicionem usuários que não são membros do site pai a um site filho, potencialmente concedendo a esses usuários permissão para realizar ações não autorizadas dentro do site filho.
Recomendações
Para as versões 7.2.0 a 7.4.1 do Liferay Portal, atualize para uma versão que inclua as correções de segurança necessárias.
Para o Liferay DXP 7.3, aplique o Service Pack 3 ou posterior.
Para o Liferay DXP 7.2, aplique o Fix Pack 15 ou posterior.
Para versões mais antigas e sem suporte do Liferay Portal e do Liferay DXP, considere atualizar para uma versão com suporte para mitigar o risco de exploração.
Como solução alternativa temporária, considere desativar a opção “Limitar a adesão aos membros do site pai” até que um patch esteja disponível.
Restrinja o acesso aos sites filhos para minimizar o risco de adições não autorizadas de usuários.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal