N/A
CVE编号
CVE-2024-38002利用情况
暂无补丁情况
N/A披露时间
2024-10-22漏洞描述
在Liferay Portal 7.3.2至7.4.3.111版本以及Liferay DXP 2023年第四季度版本(从Q4.0至Q4.5),第三季度版本(从Q3.1至Q3.8),以及从GA版到更新版本中的更新至更新92的7.4版本和更新至更新36的7.3版本中,工作流程组件在更新工作流程定义时未能正确检查用户权限。这使得远程认证用户能够通过无头API修改工作流程定义并执行任意代码(远程代码执行)。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/j... |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论