exploitDog

GHSA-822f-jfpg-hg7h

Опубликовано: 20 апр. 2022

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Liferay Portal and Liferay DXP fails to check permissions to view sites/groups

Liferay Portal 7.3.7, 7.4.0, and 7.4.1, and Liferay DXP 7.2 fix pack 13, and 7.3 fix pack 2 does not properly check user permission when accessing a list of sites/groups, which allows remote authenticated users to view sites/groups via the user's site membership assignment UI.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.portal.bom

maven

Затронутые версииВерсия исправления

= 7.3.7

Отсутствует

Наименование

com.liferay.portal:release.portal.bom

maven

Затронутые версииВерсия исправления

>= 7.4.0, < 7.4.2-ga3

7.4.2-ga3

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.2.0, < 7.2.10.fp13

7.2.10.fp13

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.3.0, < 7.3.10.fp2

7.3.10.fp2

Наименование

com.liferay:com.liferay.site.browser.web

maven

Затронутые версииВерсия исправления

< 6.0.5

6.0.5

Наименование

com.liferay.portal:com.liferay.portal.impl

maven

Затронутые версииВерсия исправления

< 7.7.9

7.7.9

EPSS

Процентиль: 30%

0.00112

Низкий

4.3 Medium

CVSS3

CVE ID

Дефекты

CWE-276

Связанные уязвимости

CVE-2022-26595

CVSS3: 4.3

nvd

почти 4 года назад

Liferay Portal 7.3.7, 7.4.0, and 7.4.1, and Liferay DXP 7.2 fix pack 13, and 7.3 fix pack 2 does not properly check user permission when accessing a list of sites/groups, which allows remote authenticated users to view sites/groups via the user's site membership assignment UI.

EPSS

Процентиль: 30%

0.00112

Низкий

4.3 Medium

CVSS3

CVE ID

Дефекты

CWE-276