Platform
java
Component
com.liferay.portal:release.portal.bom
Opgelost in
7.4.4
173.0.1
102.0.1
28.0.1
20.0.1
7.3.11
7.4.14
2023.0.1
7.4.3.102-GA102
CVE-2024-8980 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in Liferay Portal en DXP versies tot en met 7.4.3.101. Deze kwetsbaarheid stelt een externe aanvaller in staat om willekeurige Groovy-scripts uit te voeren via een speciaal ontworpen URL of een bestaande Cross-Site Scripting (XSS) kwetsbaarheid. De kwetsbaarheid treft Liferay Portal versies 7.0.0 tot en met 7.4.3.101, en Liferay DXP versies 2023.Q3.1 tot en met 2023.Q3.4. Een patch is beschikbaar in Liferay Portal 7.4.3.102 en latere versies.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid kan leiden tot ongeautoriseerde acties binnen de Liferay Portal omgeving. Aanvallers kunnen bijvoorbeeld configuratiewijzigingen aanbrengen, gebruikersaccounts beheren, of gevoelige data wijzigen. Omdat de kwetsbaarheid via een XSS-aanval kan worden gecombineerd, kan de impact aanzienlijk worden vergroot. Het uitvoeren van willekeurige Groovy-scripts biedt een aanvaller een breed scala aan mogelijkheden om de applicatie te compromitteren en toegang te krijgen tot onderliggende systemen. Dit is vergelijkbaar met de impact van andere CSRF-kwetsbaarheden waarbij de mogelijkheid bestaat om gevoelige data te stelen of de functionaliteit van de applicatie te misbruiken.
CVE-2024-8980 is openbaar bekend en de details van de kwetsbaarheid zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de kritieke ernst en de mogelijkheid om willekeurige code uit te voeren, maken het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is gepubliceerd op 2024-10-22. Het is aannemelijk dat er binnenkort Proof-of-Concept (PoC) exploits beschikbaar komen.
Organizations heavily reliant on Liferay Portal for their web applications and content management are at significant risk. This includes businesses using Liferay for customer portals, e-commerce platforms, or internal applications. Environments with legacy Liferay configurations or those lacking robust security practices are particularly vulnerable.
• linux / server: Monitor Liferay Portal logs for unusual script execution attempts or suspicious URLs containing script console references. Use journalctl -f to monitor for related errors.
journalctl -f | grep "Script Console" • generic web: Use curl to test for CSRF vulnerabilities by crafting malicious requests targeting the Script Console.
curl -X POST -d 'some_malicious_script' https://your-liferay-portal/scriptconsole • java: Review Liferay Portal's security configuration files for proper CSRF protection settings. Check for any disabled or misconfigured CSRF filters.
disclosure
patch
Exploit Status
EPSS
0.38% (60% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-8980 is het upgraden naar een versie van Liferay Portal of DXP die de kwetsbaarheid heeft verholpen, namelijk 7.4.3.102-GA102 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van strikte CSRF-beschermingsmaatregelen op applicatieniveau. Dit kan inhouden het toevoegen van CSRF-tokens aan alle kritieke formulieren en acties. Het configureren van een Web Application Firewall (WAF) om CSRF-aanvallen te detecteren en te blokkeren kan ook een effectieve tijdelijke oplossing zijn. Controleer de Liferay-documentatie voor specifieke configuratie-instructies. Na de upgrade, verifieer de bescherming door te proberen een CSRF-aanval uit te voeren op een kritieke actie en te controleren of deze wordt geblokkeerd.
Werk Liferay Portal bij naar een versie die de CSRF kwetsbaarheid heeft verholpen. Raadpleeg de beveiligingsbulletin van Liferay voor details over de gecorrigeerde versies en specifieke update-instructies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-8980 is a critical Cross-Site Request Forgery (CSRF) vulnerability in Liferay Portal and DXP versions allowing attackers to execute arbitrary Groovy scripts.
If you are running Liferay Portal or DXP versions 7.0.0 through 7.4.3.101, you are potentially affected by this vulnerability.
Upgrade to Liferay Portal 7.4.3.102-GA102, Liferay DXP 2024.Q1.1, or a later patched version to mitigate the vulnerability.
While no active exploitation campaigns have been publicly confirmed, the critical severity and ease of exploitation make it a high-priority target.
Refer to the official Liferay security advisory for detailed information and updates: [https://liferay.com/security/advisory/liferay-portal-dxp-csrf-script-console](https://liferay.com/security/advisory/liferay-portal-dxp-csrf-script-console)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.