CVE-2023-33948

Опубликовано: 24 мая 2023

Источник: nvd

CVSS3: 5.3

CVSS3: 7.5

EPSS Низкий

Описание

The Dynamic Data Mapping module in Liferay Portal 7.4.3.67, and Liferay DXP 7.4 update 67 does not limit Document and Media files which can be downloaded from a Form, which allows remote attackers to download any file from Document and Media via a crafted URL.

Ссылки

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-33948
Vendor Advisory
https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-33948
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:liferay:digital_experience_platform:7.4:update67:*:*:*:*:*:*

cpe:2.3:a:liferay:liferay_portal:7.4.3.67:*:*:*:*:*:*:*

EPSS

Процентиль: 48%

0.0025

Низкий

5.3 Medium

CVSS3

7.5 High

CVSS3

Дефекты

CWE-862

Связанные уязвимости

GHSA-w6f8-mxf5-4vf8

CVSS3: 7.5

github

больше 2 лет назад

Missing authorization in Liferay portal

EPSS

Процентиль: 48%

0.0025

Низкий

5.3 Medium

CVSS3

7.5 High

CVSS3

Дефекты

CWE-862