プラットフォーム
java
コンポーネント
com.liferay.portal:release.portal.bom
修正版
7.4.4
7.4.14
7.3.11
7.2.11
7.4.3.14
CVE-2024-26266 は、Liferay Portal 7.2.0 から 7.4.3.13 までのバージョンに存在するクロスサイトスクリプティング (XSS) の脆弱性です。この脆弱性を悪用されると、認証された攻撃者は、AnnouncementウィジェットまたはAlertsウィジェットのユーザー名フィールドに悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることが可能です。影響を受けるバージョンは Liferay Portal 7.2.0~7.4.3.13 および Liferay DXP の特定のバージョンです。7.4.3.14 以降で修正されています。
このXSS脆弱性は、攻撃者がユーザーのセッションを乗っ取ったり、悪意のあるコンテンツを表示したり、ユーザーを偽のウェブサイトにリダイレクトしたりすることを可能にします。攻撃者は、AnnouncementウィジェットまたはAlertsウィジェットのユーザー名フィールドに悪意のあるJavaScriptコードを注入することで、被害者のブラウザ上でそのコードを実行させることができます。これにより、Cookieの窃取、機密情報の詐取、さらにはシステムへの完全な制御といった深刻な被害が発生する可能性があります。この脆弱性は、Liferay Portal を利用している組織にとって重大な脅威となります。
CVE-2024-26266 は、2024年2月21日に公開されました。現時点では、この脆弱性を悪用する公開されているPoC (Proof of Concept) は確認されていませんが、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、早期の対策が必要です。CISA KEV カタログへの登録状況は不明です。
Organizations utilizing Liferay Portal 7.2.0 through 7.4.3.13, and older unsupported versions, and Liferay DXP versions prior to update 10 are at risk. This includes businesses relying on Liferay for content management, intranet portals, and customer experience platforms. Shared hosting environments where multiple users have access to create content within Liferay are particularly vulnerable.
• linux / server:
journalctl -u liferay-portal | grep -i "XSS"• generic web:
curl -I https://<liferay_portal_url>/ | grep -i "X-XSS-Protection"• wordpress / composer / npm: (Not applicable as Liferay is not a WordPress/Composer/npm component) • database (mysql, redis, mongodb, postgresql): (Not applicable as the vulnerability is not directly related to the database) • windows / supply-chain: (Not applicable as Liferay is not a Windows/supply-chain component)
disclosure
patch
エクスプロイト状況
EPSS
0.15% (36% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずLiferay Portal を 7.4.3.14 以降のバージョンにアップグレードすることを推奨します。アップグレードが困難な場合は、WAF (Web Application Firewall) を導入し、XSS攻撃を検知・防御するルールを設定してください。また、AnnouncementウィジェットおよびAlertsウィジェットのユーザー名フィールドへの入力値を厳密に検証し、HTMLエンコードなどのサニタイズ処理を適用することで、攻撃のリスクを軽減できます。アップグレード後、Liferay Portal のログを確認し、異常なアクティビティがないか監視してください。
Liferay Portal を最新の利用可能なバージョンにアップデートしてください。Liferay DXP の場合は、バージョン 7.4 Update 10、7.3 Update 4、または 7.2 Fix Pack 17、またはそれ以降のバージョンにアップデートしてください。これにより、保存型クロスサイトスクリプティング (XSS) の脆弱性が修正されます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-26266 は、Liferay Portal 7.2.0~7.4.3.13 および関連バージョンにおけるクロスサイトスクリプティング (XSS) の脆弱性です。認証されたユーザーが、Announcement/Alertsウィジェットのユーザー名フィールドに悪意のあるペイロードを注入することで、任意のWebスクリプトまたはHTMLを注入できます。
Liferay Portal 7.2.0 から 7.4.3.13 までのバージョンを使用している場合、および Liferay DXP の特定のバージョンを使用している場合は、この脆弱性の影響を受ける可能性があります。
Liferay Portal を 7.4.3.14 以降のバージョンにアップグレードすることを推奨します。アップグレードが困難な場合は、WAF を導入し、入力値の検証を強化してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、早期の対策が必要です。
Liferay Portal の公式アドバイザリは、Liferay のセキュリティアドバイザリページで確認できます。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。