Описание
The Data Engine module in Liferay Portal 7.3.0 through 7.3.5, and Liferay DXP 7.3 before fix pack 1 does not check permissions in DataDefinitionResourceImpl.getSiteDataDefinitionByContentTypeByDataDefinitionKey, which allows remote authenticated users to view DDMStructures via GET API calls.
Ссылки
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 7.3.0 (включая) до 7.3.5 (включая)
Одно из
cpe:2.3:a:liferay:dxp:7.3:-:*:*:*:*:*:*
cpe:2.3:a:liferay:liferay_portal:*:*:*:*:*:*:*:*
EPSS
Процентиль: 29%
0.00105
Низкий
4.3 Medium
CVSS3
4 Medium
CVSS2
Дефекты
CWE-276
Связанные уязвимости
CVSS3: 4.3
github
больше 3 лет назад
Liferay Portal and Liferay DXP Fails to Check Permissions
EPSS
Процентиль: 29%
0.00105
Низкий
4.3 Medium
CVSS3
4 Medium
CVSS2
Дефекты
CWE-276