exploitDog

GHSA-869h-qhfx-w939

Опубликовано: 20 фев. 2024

Источник: github

Github: Прошло ревью

CVSS3: 8

Описание

Liferay Portal has an XXE vulnerability in Java2WsddTask._format

XXE vulnerability in Liferay Portal 7.2.0 through 7.4.3.7, and older unsupported versions, and Liferay DXP 7.4 before update 4, 7.3 before update 12, 7.2 before fix pack 20, and older unsupported versions allows attackers with permission to deploy widgets/portlets/extensions to obtain sensitive information or consume system resources via the Java2WsddTask._format method.

Ссылки

Пакеты

Наименование

com.liferay.portal:com.liferay.util.java

maven

Затронутые версииВерсия исправления

< 14.0.0

14.0.0

Наименование

com.liferay.portal:release.portal.bom

maven

Затронутые версииВерсия исправления

< 7.4.3.8

7.4.3.8

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.3.0, < 7.3.10.u12

7.3.10.u12

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.4.0, < 7.4.13.u4

7.4.13.u4

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

< 7.2.10.fp20

7.2.10.fp20

EPSS

Процентиль: 34%

0.00135

Низкий

8 High

CVSS3

CVE ID

Дефекты

CWE-611

Связанные уязвимости

CVE-2024-25606

CVSS3: 8

nvd

почти 2 года назад

XXE vulnerability in Liferay Portal 7.2.0 through 7.4.3.7, and older unsupported versions, and Liferay DXP 7.4 before update 4, 7.3 before update 12, 7.2 before fix pack 20, and older unsupported versions allows attackers with permission to deploy widgets/portlets/extensions to obtain sensitive information or consume system resources via the Java2WsddTask._format method.

EPSS

Процентиль: 34%

0.00135

Низкий

8 High

CVSS3

CVE ID

Дефекты

CWE-611