Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-25606)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)

Fecha de publicación:

20/02/2024

Última modificación:

11/12/2024

Descripción

La vulnerabilidad XXE en Liferay Portal 7.2.0 a 7.4.3.7 y versiones anteriores no compatibles, y Liferay DXP 7.4 antes de la actualización 4, 7.3 antes de la actualización 12, 7.2 antes del fixpack 20 y versiones anteriores no compatibles permite a atacantes con permiso implementar widgets/portlets /extensiones para obtener información confidencial o consumir recursos del sistema a través del método Java2WsddTask._format.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.00 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.00

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:liferay:digital_experience_platform::::::::		7.2 (excluyendo)
cpe:2.3:a:liferay:digital_experience_platform:7.2:-::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_1::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_10::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_11::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_12::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_13::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_14::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_15::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_16::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_17::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_18::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_19::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_2::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_3::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:liferay:digital_experience_platform::::::::		7.2 (excluyendo)
cpe:2.3:a:liferay:digital_experience_platform:7.2:-::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_1::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_10::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_11::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_12::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_13::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_14::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_15::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_16::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_17::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_18::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_19::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_2::::::
cpe:2.3:a:liferay:digital_experience_platform:7.2:fix_pack_3::::::

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-25606)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información