GHSA-fxpf-jr2q-vpvv

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

Liferay Portal and Liferay DXP autosaves form data for other users to see

The Dynamic Data Mapping module in Dynamic Data Mapping Form Web before 3.0.23 in Liferay Portal 7.1.0 through 7.3.2, and Liferay DXP 7.1 before fix pack 19, and 7.2 before fix pack 7, autosaves form values for unauthenticated users, which allows remote attackers to view the autosaved values by viewing the form as an unauthenticated user.

Ссылки

Пакеты

Наименование

com.liferay:com.liferay.dynamic.data.mapping.form.web

maven

Затронутые версииВерсия исправления

< 3.0.23

3.0.23

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.1.0, < 7.1.10.fp19

7.1.10.fp19

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.2.0, < 7.2.10.fp7

7.2.10.fp7

EPSS

Процентиль: 61%

0.00417

Низкий

7.5 High

CVSS3

CVE ID

CVE-2021-33323

Дефекты

CWE-312

Связанные уязвимости

CVE-2021-33323

CVSS3: 7.5

nvd

больше 4 лет назад

The Dynamic Data Mapping module in Liferay Portal 7.1.0 through 7.3.2, and Liferay DXP 7.1 before fix pack 19, and 7.2 before fix pack 7, autosaves form values for unauthenticated users, which allows remote attackers to view the autosaved values by viewing the form as an unauthenticated user.

EPSS

Процентиль: 61%

0.00417

Низкий

7.5 High

CVSS3

CVE ID

CVE-2021-33323

Дефекты

CWE-312