一、 漏洞 CVE-2024-26272 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Liferay Portal 7.3.2 至 7.4.3.107 版本以及 Liferay DXP 2023.Q4.0 至 2023.Q4.2、2023.Q3.1 至 2023.Q3.5、7.4 GA 至 update 92 和 7.3 GA 至 update 35 版本的内容页面编辑器中存在跨站请求伪造(CSRF)漏洞。远程攻击者可通过操纵 p_l_back_url 参数来执行以下操作:(1)更改用户密码,(2)关闭服务器,(3)在脚本控制台中执行任意代码,(4)执行其他管理操作。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
跨站请求伪造(CSRF)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Cross-site request forgery (CSRF) vulnerability in the content page editor in Liferay Portal 7.3.2 through 7.4.3.107, and Liferay DXP 2023.Q4.0 through 2023.Q4.2, 2023.Q3.1 through 2023.Q3.5, 7.4 GA through update 92 and 7.3 GA through update 35 allows remote attackers to (1) change user passwords, (2) shut down the server, (3) execute arbitrary code in the scripting console, (4) and perform other administrative actions via the p_l_back_url parameter.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Liferay Portal和Liferay DXP 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Liferay Portal和Liferay DXP都是美国Liferay公司的产品。Liferay Portal是一套基于J2EE的门户解决方案。该方案使用了EJB以及JMS等技术,并可作为Web发布和共享工作区、企业协作平台、社交网络等。Liferay DXP是一套数字化体验协作平台。 Liferay Portal和Liferay DXP存在安全漏洞,该漏洞源于存在跨站请求伪造漏洞,允许远程攻击者更改用户密码、关闭服务器和在脚本控制台中执行任意代码等。受影响版本如下:Liferay Portal 7.
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-26272 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-26272 的情报信息
-
标题: CVE-2024-26272 CSRF bypass related to `p_l_back_url` in content page editor - Liferay -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-26272