Liferay Portal और Liferay DXP स्क्रिप्ट कंसोल में CSRF के प्रति संवेदनशील

यह CSRF भेद्यता हमलावरों के लिए Liferay Portal के भीतर अनधिकृत क्रियाएं करने का मार्ग खोलती है। हमलावर स्क्रिप्ट कंसोल के माध्यम से मनमाना Groovy स्क्रिप्ट निष्पादित कर सकते हैं, जिससे डेटा चोरी, सिस्टम कॉन्फ़िगरेशन में बदलाव या यहां तक कि सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। चूंकि स्क्रिप्ट कंसोल का उपयोग व्यवस्थापकों द्वारा सिस्टम कॉन्फ़िगरेशन और डेटा प्रबंधन के लिए किया जाता है, इसलिए इस भेद्यता का शोषण करने से गंभीर परिणाम हो सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि इसे अन्य XSS भेद्यताओं के साथ जोड़ा जा सकता है, जिससे हमलावर CSRF हमले को ट्रिगर करने के लिए स्क्रिप्ट कंसोल तक पहुंचने के लिए XSS भेद्यता का उपयोग कर सकते हैं।

Organizations heavily reliant on Liferay Portal for their web applications and content management are at significant risk. This includes businesses using Liferay for customer portals, e-commerce platforms, or internal applications. Environments with legacy Liferay configurations or those lacking robust security practices are particularly vulnerable.

• linux / server: Monitor Liferay Portal logs for unusual script execution attempts or suspicious URLs containing script console references. Use journalctl -f to monitor for related errors.

journalctl -f | grep "Script Console" 

• generic web: Use curl to test for CSRF vulnerabilities by crafting malicious requests targeting the Script Console.

curl -X POST -d 'some_malicious_script' https://your-liferay-portal/scriptconsole 

• java: Review Liferay Portal's security configuration files for proper CSRF protection settings. Check for any disabled or misconfigured CSRF filters.

1. 2024-10-22Disclosure

   disclosure

2. 2024-10-22Patch

   patch

1. आरक्षित2024-09-18
2. प्रकाशित2024-10-22
3. संशोधित2025-07-29
4. EPSS अद्यतन2026-04-02

CVE-2024-8980 को कम करने के लिए, Liferay Portal को तुरंत संस्करण 7.4.3.102-GA102 या बाद के संस्करण में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो स्क्रिप्ट कंसोल तक पहुंच को सीमित करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। इसमें स्क्रिप्ट कंसोल तक पहुंच को केवल विश्वसनीय उपयोगकर्ताओं तक सीमित करना और स्क्रिप्ट कंसोल में निष्पादित किए जा सकने वाले स्क्रिप्ट को सीमित करना शामिल है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों का पता लगाने और उन्हें रोकने के लिए भी किया जा सकता है। सुनिश्चित करें कि WAF को CSRF हमलों के खिलाफ सुरक्षा प्रदान करने के लिए ठीक से कॉन्फ़िगर किया गया है। अपडेट के बाद, स्क्रिप्ट कंसोल के माध्यम से किसी भी अनधिकृत गतिविधि के लिए लॉग की निगरानी करें और सत्यापित करें कि भेद्यता ठीक हो गई है।