Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-v377-8f8f-532h

Опубликовано: 24 мая 2022
Источник: github
Github: Прошло ревью
CVSS3: 8.8

Описание

Liferay Portal and Liferay DXP Vulnerable to Arbitrary Code Execution

In Liferay Portal before 7.3.2 and Liferay DXP 7.0 before fix pack 92, 7.1 before fix pack 18, and 7.2 before fix pack 6, the template API does not restrict user access to sensitive objects, which allows remote authenticated users to execute arbitrary code via crafted FreeMarker and Velocity templates.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.portal.bom

maven
Затронутые версииВерсия исправления

< 7.3.2

7.3.2

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.0.0, < 7.0.10.fp92

7.0.10.fp92

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.1.0, < 7.1.10.fp18

7.1.10.fp18

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.2.0, < 7.2.10.fp6

7.2.10.fp6

EPSS

Процентиль: 88%
0.0371
Низкий

8.8 High

CVSS3

CVE ID

CVE-2020-13445

Дефекты

CWE-74

Связанные уязвимости

nvd логотип

CVE-2020-13445

CVSS3: 8.8
nvd
больше 5 лет назад

In Liferay Portal before 7.3.2 and Liferay DXP 7.0 before fix pack 92, 7.1 before fix pack 18, and 7.2 before fix pack 6, the template API does not restrict user access to sensitive objects, which allows remote authenticated users to execute arbitrary code via crafted FreeMarker and Velocity templates.

EPSS

Процентиль: 88%
0.0371
Низкий

8.8 High

CVSS3

CVE ID

CVE-2020-13445

Дефекты

CWE-74