Liferay Portal 7.0.0 < 7.4.3.102 XSS
medium Nessus プラグイン ID 212711
Language:
概要
リモートホストにセキュリティ更新がありません。説明
Liferay Portal 7.0.0 ~ 7.4.3.101、Liferay DXP 2023.Q3.1 ~ 2023.Q3.4、update 92 までの 7.4 GA、update 35 までの 7.3、Fix Pack 20 までの 7.2 GA、Fix Pack 28 までの 7.1 GA、Fix Pack 102 までの 7.0 GA、Fix Pack 173 までの 6.2 GA のスクリプトコンソールでは、クロスサイトリクエスト偽造 (CSRF) 攻撃に対する保護が不十分です。これにより、リモートの攻撃者が、細工された URL または XSS の脆弱性を通じて、任意の Groovy スクリプトを実行する可能性があります。Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
アドバイザリで指定されたガイダンスに基づいて、Liferay Portal をアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 212711
ファイル名: liferay_7_4_3_102.nasl
バージョン: 1.2
タイプ: remote
ファミリー: CGI abuses
公開日: 2024/12/12
更新日: 2024/12/16
サポートされているセンサー: Nessus
Enable CGI Scanning: true
リスク情報
VPR
リスクファクター: Low
スコア: 3.0
CVSS v2
リスクファクター: Medium
基本値: 6.4
現状値: 4.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2024-8980
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:liferay:liferay_portal
必要な KB アイテム: installed_sw/liferay_portal
除外される KB アイテム: Settings/disable_cgi_scanning
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/9/18
脆弱性公開日: 2024/9/18
参照情報
CVE: CVE-2024-8980