PT-2024-21035 · Liferay · Liferay Portal+1
Publicado
2024-02-20
·
Atualizado
2024-12-11
·
CVE-2024-25606
CVSS v3.1
8.7
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.2.0 a 7.4.3.7
Liferay DXP 7.4 antes da atualização 4
Liferay DXP 7.3 antes da atualização 12
Liferay DXP 7.2 antes do pacote de correções 20
Descrição
A vulnerabilidade permite que invasores com permissão para implantar widgets/portlets/extensões obtenham informações confidenciais ou consumam recursos do sistema por meio do método
Java2WsddTask. format.Recomendações
Para as versões do Liferay Portal 7.2.0 a 7.4.3.7, atualize para uma versão fora desse intervalo.
Para o Liferay DXP 7.4 antes da atualização 4, aplique a atualização 4.
Para o Liferay DXP 7.3 antes da atualização 12, aplique a atualização 12.
Para o Liferay DXP 7.2 antes do fix pack 20, aplique o fix pack 20.
Como solução alternativa temporária, considere restringir o acesso ao método
Java2WsddTask. format até que um patch esteja disponível.Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal