プラットフォーム
java
コンポーネント
com.liferay.portal:release.portal.bom
修正版
7.4.4
173.0.1
102.0.1
28.0.1
20.0.1
7.3.11
7.4.14
2023.0.1
7.4.3.102-GA102
CVE-2024-8980は、Liferay Portal および Liferay DXP におけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。この脆弱性は、認証済みユーザーが意図しないアクションを実行される可能性があります。影響を受けるバージョンは、Liferay Portal 7.0.0~7.4.3.101、および Liferay DXP 2023.Q3.1~2023.Q3.4、7.4 GA~update 92、7.3 GA~update 35、7.2 GA~fix pack 20、7.1 GA~fix pack 28、7.0 GA~fix pack 102、6.2 GA~fix pack 173です。Liferay Portal 7.4.3.102、DXP 2024.Q1.1、DXP 2023.Q3.5、DXP 2023.Q4.0で修正されています。
このCSRF脆弱性は、攻撃者が認証済みユーザーになりすまして、Script Consoleを通じて任意のGroovyスクリプトを実行することを可能にします。これにより、機密データの漏洩、設定の変更、さらにはシステム全体の制御権の奪取といった深刻な影響が考えられます。攻撃者は、XSS脆弱性を悪用して、ユーザーを悪意のあるURLに誘導したり、巧妙に偽装されたフォームを送信することで、CSRF攻撃を実行できます。Liferay PortalのScript Consoleは、システム管理者がスクリプトを実行できる強力な機能であるため、この脆弱性が悪用されると、広範囲にわたる損害が発生する可能性があります。
この脆弱性は、公開されており、攻撃者による悪用が懸念されます。現時点では、具体的な攻撃キャンペーンの報告はありませんが、Liferay Portalの広範な利用状況を考慮すると、攻撃対象として優先順位が高くなる可能性があります。NVDおよびCISAの公開日(2024年10月22日)以降、攻撃の兆候がないか注意深く監視する必要があります。
Organizations heavily reliant on Liferay Portal for their web applications and content management are at significant risk. This includes businesses using Liferay for customer portals, e-commerce platforms, or internal applications. Environments with legacy Liferay configurations or those lacking robust security practices are particularly vulnerable.
• linux / server: Monitor Liferay Portal logs for unusual script execution attempts or suspicious URLs containing script console references. Use journalctl -f to monitor for related errors.
journalctl -f | grep "Script Console" • generic web: Use curl to test for CSRF vulnerabilities by crafting malicious requests targeting the Script Console.
curl -X POST -d 'some_malicious_script' https://your-liferay-portal/scriptconsole • java: Review Liferay Portal's security configuration files for proper CSRF protection settings. Check for any disabled or misconfigured CSRF filters.
disclosure
patch
エクスプロイト状況
EPSS
0.38% (60% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずLiferay PortalおよびDXPを、Liferay Portal 7.4.3.102、DXP 2024.Q1.1、DXP 2023.Q3.5、DXP 2023.Q4.0などの修正バージョンにアップデートすることを推奨します。アップデートが困難な場合は、Script Consoleへのアクセスを制限する、またはCSRFトークンを適切に検証するなどの一時的な回避策を検討してください。WAF(Web Application Firewall)を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。また、Liferay Portalのログを監視し、不審なアクティビティがないか確認することも重要です。アップデート後、Script Consoleの動作を検証し、CSRF攻撃の影響がないことを確認してください。
CSRF の脆弱性を修正したバージョンに Liferay Portal をアップデートしてください。詳細については、Liferay のセキュリティアドバイザリを参照し、具体的なアップデート手順を確認してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-8980は、Liferay Portal 7.0.0~7.4.3.101 および DXP におけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。攻撃者は、認証済みユーザーになりすまして、任意のGroovyスクリプトを実行できる可能性があります。
Liferay Portalのバージョンが7.0.0~7.4.3.101、およびDXPのバージョンが2023.Q3.1~2023.Q3.4、7.4 GA~update 92、7.3 GA~update 35、7.2 GA~fix pack 20、7.1 GA~fix pack 28、7.0 GA~fix pack 102、6.2 GA~fix pack 173である場合、影響を受ける可能性があります。
Liferay PortalおよびDXPを、Liferay Portal 7.4.3.102、DXP 2024.Q1.1、DXP 2023.Q3.5、DXP 2023.Q4.0などの修正バージョンにアップデートしてください。
現時点では具体的な攻撃キャンペーンの報告はありませんが、公開されている脆弱性であるため、悪用される可能性はあります。
Liferayの公式アドバイザリは、Liferayのセキュリティアドバイザリページで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。