Liferay Portal 7.0.0 < 7.4.3.102 XSS

medium Nessus プラグイン ID 212711

概要

リモートホストにセキュリティ更新がありません。

説明

Liferay Portal 7.0.0 ~ 7.4.3.101、Liferay DXP 2023.Q3.1 ~ 2023.Q3.4、update 92 までの 7.4 GA、update 35 までの 7.3、Fix Pack 20 までの 7.2 GA、Fix Pack 28 までの 7.1 GA、Fix Pack 102 までの 7.0 GA、Fix Pack 173 までの 6.2 GA のスクリプトコンソールでは、クロスサイトリクエスト偽造 (CSRF) 攻撃に対する保護が不十分です。これにより、リモートの攻撃者が、細工された URL または XSS の脆弱性を通じて、任意の Groovy スクリプトを実行する可能性があります。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

アドバイザリで指定されたガイダンスに基づいて、Liferay Portal をアップグレードしてください。

参考資料

https://liferay.dev/portal/security/known-vulnerabilities

プラグインの詳細

深刻度: Medium

ID: 212711

ファイル名: liferay_7_4_3_102.nasl

バージョン: 1.2

タイプ: remote

ファミリー: CGI abuses

公開日: 2024/12/12

更新日: 2024/12/16

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus

Enable CGI Scanning: true

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 4.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2024-8980

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:liferay:liferay_portal

必要な KB アイテム: installed_sw/liferay_portal

除外される KB アイテム: Settings/disable_cgi_scanning

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/9/18

脆弱性公開日: 2024/9/18

参照情報

CVE: CVE-2024-8980