Vulnerabilidad en Liferay Portal y DXP (CVE-2024-8980)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

22/10/2024

Última modificación:

10/12/2024

Descripción

La consola de scripts en Liferay Portal 7.0.0 a 7.4.3.101, y Liferay DXP 2023.Q3.1 a 2023.Q3.4, 7.4 GA a la actualización 92, 7.3 GA a la actualización 35, 7.2 GA a través del fixpack 20, 7.1 GA a través del fixpack 28, 7.0 GA a través del fixpack 102 y 6.2 GA a través del fixpack 173 no protege lo suficiente contra ataques de Cross-Site Request Forgery (CSRF), que permiten a atacantes remotos ejecutar scripts de Groovy arbitrarios a través de una URL manipulada o una vulnerabilidad XSS.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.60 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.60

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:liferay:digital_experience_platform::::::::	6.2 (incluyendo)	7.2 (incluyendo)
cpe:2.3:a:liferay:digital_experience_platform::::::::	2023.q3.1 (incluyendo)	2023.q3.5 (excluyendo)
cpe:2.3:a:liferay:digital_experience_platform:7.3:-::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:fix_pack_1::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:fix_pack_2::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:service_pack_1::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:service_pack_3::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update10::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update11::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update12::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update13::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update14::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update15::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update16::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update17::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2024-8980

CPE	Desde	Hasta
cpe:2.3:a:liferay:digital_experience_platform::::::::	6.2 (incluyendo)	7.2 (incluyendo)
cpe:2.3:a:liferay:digital_experience_platform::::::::	2023.q3.1 (incluyendo)	2023.q3.5 (excluyendo)
cpe:2.3:a:liferay:digital_experience_platform:7.3:-::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:fix_pack_1::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:fix_pack_2::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:service_pack_1::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:service_pack_3::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update10::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update11::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update12::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update13::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update14::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update15::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update16::::::
cpe:2.3:a:liferay:digital_experience_platform:7.3:update17::::::