Vulnerabilidad en Liferay Portal y DXP (CVE-2024-26272)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
22/10/2024
Última modificación:
10/12/2024
Descripción
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el editor de páginas de contenido en Liferay Portal 7.3.2 a 7.4.3.107, y Liferay DXP 2023.Q4.0 a 2023.Q4.2, 2023.Q3.1 a 2023.Q3.5, 7.4 GA a la actualización 92 y 7.3 GA a la actualización 35 permite a atacantes remotos (1) cambiar las contraseñas de los usuarios, (2) apagar el servidor, (3) ejecutar código arbitrario en la consola de scripts, (4) y realizar otras acciones administrativas a través del parámetro p_l_back_url.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:* | 2023.q3.1 (incluyendo) | 2023.q3.6 (excluyendo) |
cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:* | 2023.q4.0 (incluyendo) | 2023.q4.3 (excluyendo) |
cpe:2.3:a:liferay:digital_experience_platform:7.3:-:*:*:*:*:*:* | ||
cpe:2.3:a:liferay:digital_experience_platform:7.3:fix_pack_1:*:*:*:*:*:* | ||
cpe:2.3:a:liferay:digital_experience_platform:7.3:fix_pack_2:*:*:*:*:*:* | ||
cpe:2.3:a:liferay:digital_experience_platform:7.3:service_pack_1:*:*:*:*:*:* | ||
cpe:2.3:a:liferay:digital_experience_platform:7.3:service_pack_3:*:*:*:*:*:* | ||
cpe:2.3:a:liferay:digital_experience_platform:7.3:update10:*:*:*:*:*:* | ||
cpe:2.3:a:liferay:digital_experience_platform:7.3:update11:*:*:*:*:*:* | ||
cpe:2.3:a:liferay:digital_experience_platform:7.3:update12:*:*:*:*:*:* | ||
cpe:2.3:a:liferay:digital_experience_platform:7.3:update13:*:*:*:*:*:* | ||
cpe:2.3:a:liferay:digital_experience_platform:7.3:update14:*:*:*:*:*:* | ||
cpe:2.3:a:liferay:digital_experience_platform:7.3:update15:*:*:*:*:*:* | ||
cpe:2.3:a:liferay:digital_experience_platform:7.3:update16:*:*:*:*:*:* | ||
cpe:2.3:a:liferay:digital_experience_platform:7.3:update17:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página