GHSA-8j5r-9687-88w5

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 6.5

Описание

Liferay Portal and Liferay DXP Fails to Sanitize API Data

Liferay Portal 7.x before 7.3.2, and Liferay DXP 7.0 before fix pack 92, 7.1 before fix pack 19, and 7.2 before fix pack 7, does not sanitize the information returned by the DDMDataProvider API, which allows remote authenticated users to obtain the password to REST Data Providers.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.portal.bom

maven

Затронутые версииВерсия исправления

>= 7.0.0, < 7.3.2

7.3.2

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.0.0, < 7.0.10.fp92

7.0.10.fp92

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.1.0, < 7.1.10.fp19

7.1.10.fp19

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.2.0, < 7.2.10.fp7

7.2.10.fp7

EPSS

Процентиль: 48%

0.00249

Низкий

6.5 Medium

CVSS3

CVE ID

CVE-2020-13444

Дефекты

CWE-200

Связанные уязвимости

CVE-2020-13444

CVSS3: 6.5

nvd

больше 5 лет назад

Liferay Portal 7.x before 7.3.2, and Liferay DXP 7.0 before fix pack 92, 7.1 before fix pack 18, and 7.2 before fix pack 5 does not sanitize the information returned by the DDMDataProvider API, which allows remote authenticated users to obtain the password to REST Data Providers.

EPSS

Процентиль: 48%

0.00249

Низкий

6.5 Medium

CVSS3

CVE ID

CVE-2020-13444

Дефекты

CWE-200