exploitDog

GHSA-vrwx-q9pj-x488

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 5.3

Описание

Liferay Portal and Liferay DXP Bypass via Double Encoded URL

In Liferay Portal before 7.3.1, com.liferay.portal:com.liferay.portal.impl before 7.1.3 and 7.4.0, Liferay Portal 6.2 EE, and Liferay DXP 7.2, DXP 7.1 and DXP 7.0, the property 'portlet.resource.id.banned.paths.regexp' can be bypassed with doubled encoded URLs.

Ссылки

Пакеты

Наименование

com.liferay.portal:com.liferay.portal.impl

maven

Затронутые версииВерсия исправления

>= 7.2.0, < 7.4.0

7.4.0

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

< 7.0.10.fp93

7.0.10.fp93

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.1.0, < 7.1.10.fp19

7.1.10.fp19

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.2.0, < 7.2.10.fp7

7.2.10.fp7

Наименование

com.liferay.portal:release.portal.bom

maven

Затронутые версииВерсия исправления

< 7.3.1

7.3.1

Наименование

com.liferay.portal:com.liferay.portal.impl

maven

Затронутые версииВерсия исправления

< 7.1.3

7.1.3

EPSS

Процентиль: 41%

0.00194

Низкий

5.3 Medium

CVSS3

CVE ID

Дефекты

CWE-284

Связанные уязвимости

CVE-2020-15840

CVSS3: 5.3

nvd

больше 5 лет назад

In Liferay Portal before 7.3.1, Liferay Portal 6.2 EE, and Liferay DXP 7.2, DXP 7.1 and DXP 7.0, the property 'portlet.resource.id.banned.paths.regexp' can be bypassed with doubled encoded URLs.

EPSS

Процентиль: 41%

0.00194

Низкий

5.3 Medium

CVSS3

CVE ID

Дефекты

CWE-284