Plateforme
java
Composant
com.liferay.portal:release.portal.bom
Corrigé dans
7.4.4
173.0.1
102.0.1
28.0.1
20.0.1
7.3.11
7.4.14
2023.0.1
7.4.3.102-GA102
La vulnérabilité CVE-2024-8980 est une faille de Cross-Site Request Forgery (CSRF) présente dans Liferay Portal et Liferay DXP. Cette faille permet à un attaquant d'exécuter des scripts Groovy arbitraires sur le serveur cible. Elle affecte les versions de Liferay Portal 7.0.0 à 7.4.3.101 et diverses versions de Liferay DXP. Une correction est disponible dans Liferay Portal 7.4.3.102 et les versions ultérieures de DXP.
Un attaquant exploitant cette vulnérabilité peut injecter des requêtes malveillantes via une URL ou une faille de Cross-Site Scripting (XSS) existante. Ces requêtes, si elles sont exécutées par un utilisateur authentifié, peuvent permettre à l'attaquant d'effectuer des actions en son nom, telles que la modification de configurations, la création ou la suppression d'utilisateurs, ou l'exécution de code arbitraire via la console de script. Le risque est particulièrement élevé si des utilisateurs disposent de privilèges d'administration. L'exécution de scripts Groovy arbitraires peut compromettre l'intégrité et la confidentialité des données, voire permettre la prise de contrôle complète du serveur Liferay. Cette vulnérabilité est similaire en impact à des failles permettant l'exécution de code à distance, car elle contourne les mécanismes d'authentification.
Cette vulnérabilité a été rendue publique le 22 octobre 2024. Il n'y a pas d'indication d'exploitation active à ce jour, mais la sévérité critique de la vulnérabilité et la disponibilité de la console de script en font une cible potentielle. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement compte tenu de la nature de la vulnérabilité CSRF.
Organizations heavily reliant on Liferay Portal for their web applications and content management are at significant risk. This includes businesses using Liferay for customer portals, e-commerce platforms, or internal applications. Environments with legacy Liferay configurations or those lacking robust security practices are particularly vulnerable.
• linux / server: Monitor Liferay Portal logs for unusual script execution attempts or suspicious URLs containing script console references. Use journalctl -f to monitor for related errors.
journalctl -f | grep "Script Console" • generic web: Use curl to test for CSRF vulnerabilities by crafting malicious requests targeting the Script Console.
curl -X POST -d 'some_malicious_script' https://your-liferay-portal/scriptconsole • java: Review Liferay Portal's security configuration files for proper CSRF protection settings. Check for any disabled or misconfigured CSRF filters.
disclosure
patch
Statut de l'Exploit
EPSS
0.38% (percentile 60%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à appliquer la mise à jour corrective vers Liferay Portal 7.4.3.102 ou une version ultérieure de DXP. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant l'accès à la console de script et en désactivant les fonctionnalités inutiles. L'implémentation de politiques de sécurité de contenu (CSP) peut également aider à atténuer le risque d'exploitation. En cas d'impossibilité de mettre à jour immédiatement, envisagez de restreindre l'accès à la console de script via des règles de pare-feu ou des contrôles d'accès basés sur les rôles. Après la mise à jour, vérifiez que la console de script est correctement protégée et que les autorisations des utilisateurs sont conformes aux exigences de sécurité.
Mettez à jour Liferay Portal vers une version qui a corrigé la vulnérabilité CSRF. Consultez l'avis de sécurité de Liferay pour obtenir des détails sur les versions corrigées et les instructions de mise à jour spécifiques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-8980 is a critical Cross-Site Request Forgery (CSRF) vulnerability in Liferay Portal and DXP versions allowing attackers to execute arbitrary Groovy scripts.
If you are running Liferay Portal or DXP versions 7.0.0 through 7.4.3.101, you are potentially affected by this vulnerability.
Upgrade to Liferay Portal 7.4.3.102-GA102, Liferay DXP 2024.Q1.1, or a later patched version to mitigate the vulnerability.
While no active exploitation campaigns have been publicly confirmed, the critical severity and ease of exploitation make it a high-priority target.
Refer to the official Liferay security advisory for detailed information and updates: [https://liferay.com/security/advisory/liferay-portal-dxp-csrf-script-console](https://liferay.com/security/advisory/liferay-portal-dxp-csrf-script-console)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.