一、 漏洞 CVE-2024-26271 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Liferay Portal 7.4.3.75 至 7.4.3.111 及 Liferay DXP 2023.Q4.0 至 2023.Q4.2,2023.Q3.1 至 2023.Q3.5,7.4 update 75 至 update 92 和 7.3 update 32 至 update 36 版本中的“我的账户”插件存在跨站请求伪造(CSRF)漏洞。远程攻击者可通过利用 _com_liferay_my_account_web_portlet_MyAccountPortlet_backURL 参数进行以下操作:(1) 修改用户密码,(2) 关闭服务器,(3) 在脚本控制台中执行任意代码,(4) 执行其他管理操作。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
跨站请求伪造(CSRF)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Cross-site request forgery (CSRF) vulnerability in the My Account widget in Liferay Portal 7.4.3.75 through 7.4.3.111, and Liferay DXP 2023.Q4.0 through 2023.Q4.2, 2023.Q3.1 through 2023.Q3.5, 7.4 update 75 through update 92 and 7.3 update 32 through update 36 allows remote attackers to (1) change user passwords, (2) shut down the server, (3) execute arbitrary code in the scripting console, (4) and perform other administrative actions via the _com_liferay_my_account_web_portlet_MyAccountPortlet_backURL parameter.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Liferay Portal和Liferay DXP 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Liferay Portal和Liferay DXP都是美国Liferay公司的产品。Liferay Portal是一套基于J2EE的门户解决方案。该方案使用了EJB以及JMS等技术,并可作为Web发布和共享工作区、企业协作平台、社交网络等。Liferay DXP是一套数字化体验协作平台。 Liferay Portal和Liferay DXP存在安全漏洞,该漏洞源于存在跨站请求伪造漏洞,允许远程攻击者更改用户密码、关闭服务器和在脚本控制台中执行任意代码等。受影响版本如下:Liferay Portal 7.
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-26271 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-26271 的情报信息