一、 漏洞 CVE-2024-38002 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Liferay Portal 7.3.2 至 7.4.3.111 以及 Liferay DXP 2023.Q4.0 至 2023.Q4.5、2023.Q3.1 至 2023.Q3.8、7.4 GA 至更新 92 和 7.3 GA 至更新 36 中的 workflow 组件在更新工作流定义之前未正确检查用户权限,这使得远程认证用户可以通过 headless API 修改工作流定义并执行任意代码(RCE)。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
权限、特权和访问控制
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The workflow component in Liferay Portal 7.3.2 through 7.4.3.111, and Liferay DXP 2023.Q4.0 through 2023.Q4.5, 2023.Q3.1 through 2023.Q3.8, 7.4 GA through update 92 and 7.3 GA through update 36 does not properly check user permissions before updating a workflow definition, which allows remote authenticated users to modify workflow definitions and execute arbitrary code (RCE) via the headless API.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不正确
来源:美国国家漏洞数据库 NVD
漏洞标题
Liferay Portal和Liferay DXP 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Liferay Portal和Liferay DXP都是美国Liferay公司的产品。Liferay Portal是一套基于J2EE的门户解决方案。该方案使用了EJB以及JMS等技术,并可作为Web发布和共享工作区、企业协作平台、社交网络等。Liferay DXP是一套数字化体验协作平台。 Liferay Portal和Liferay DXP存在安全漏洞,该漏洞源于未正确检查用户权限,远程认证用户可以通过无头API修改工作流定义并执行任意代码。受影响版本如下:Liferay Portal 7.4.0至7.
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-38002 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
