漏洞标题
N/A
漏洞描述信息
**争议** Liferay 6.2.x 之前版本有一个 FCKeditor 配置,允许攻击者通过浏览器/liferay/browser.html?Type= 或 html/js/editor/fckeditor/editor/filemanager/browser/liferay/browser.html URI 上传或传输危险类型文件,这些文件可以在产品环境中自动处理。请注意:供应商对此问题表示争议,因为文件上传是一项预期的功能,受基于角色的访问控制检查限制,只有经过验证的用户并具有适当的权限后才能上传文件。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Liferay 6.2.x and before has an FCKeditor configuration that allows an attacker to upload or transfer files of dangerous types that can be automatically processed within the product's environment via a browser/liferay/browser.html?Type= or html/js/editor/fckeditor/editor/filemanager/browser/liferay/browser.html URI. NOTE: the vendor disputes this issue because file upload is an expected feature, subject to Role Based Access Control checks where only authenticated users with proper permissions can upload files
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Liferay 安全漏洞
漏洞描述信息
Liferay是美国Liferay公司的一套基于J2EE的门户解决方案,它使用了EJB以及JMS等技术,并可作为Web发布和共享工作区、企业协作平台、社交网络等。 Liferay 6.2.x及之前版本中存在安全漏洞。攻击者可借助browser/liferay/browser.html?Type=或html/js/editor/fckeditor/editor/filemanager/browser/liferay/browser.html URI利用该漏洞上传或传输危险类型的文件。
CVSS信息
N/A
漏洞类别
授权问题