Plataforma
java
Componente
com.liferay.portal:release.portal.bom
Corrigido em
7.4.4
173.0.1
102.0.1
28.0.1
20.0.1
7.3.11
7.4.14
2023.0.1
7.4.3.102-GA102
A vulnerabilidade CVE-2024-8980 é uma falha de Cross-Site Request Forgery (CSRF) presente no Script Console do Liferay Portal e Liferay DXP. Essa falha permite que atacantes remotos executem scripts Groovy arbitrários através de URLs maliciosas ou explorando vulnerabilidades de Cross-Site Scripting (XSS). A vulnerabilidade afeta versões do Liferay Portal até 7.4.3.101 e diversas versões do Liferay DXP. A correção foi implementada nas versões 7.4.3.102-GA102, Liferay DXP 2024.Q1.1 e outras.
A exploração bem-sucedida da vulnerabilidade CVE-2024-8980 pode resultar na execução de código arbitrário no servidor Liferay Portal. Um atacante pode, por exemplo, modificar configurações do sistema, acessar dados sensíveis, ou até mesmo comprometer completamente o servidor. A capacidade de executar scripts Groovy arbitrariamente concede ao atacante um nível elevado de controle sobre o sistema, permitindo a realização de diversas ações maliciosas. Dada a popularidade do Liferay Portal em ambientes corporativos, o impacto potencial dessa vulnerabilidade é significativo, podendo levar a roubo de dados, interrupção de serviços e danos à reputação.
A vulnerabilidade CVE-2024-8980 foi divulgada em 22 de outubro de 2024. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um Script Console com permissões excessivas é um padrão de configuração inseguro que pode ser explorado. A ausência de proteção CSRF adequada aumenta significativamente o risco de exploração.
Organizations heavily reliant on Liferay Portal for their web applications and content management are at significant risk. This includes businesses using Liferay for customer portals, e-commerce platforms, or internal applications. Environments with legacy Liferay configurations or those lacking robust security practices are particularly vulnerable.
• linux / server: Monitor Liferay Portal logs for unusual script execution attempts or suspicious URLs containing script console references. Use journalctl -f to monitor for related errors.
journalctl -f | grep "Script Console" • generic web: Use curl to test for CSRF vulnerabilities by crafting malicious requests targeting the Script Console.
curl -X POST -d 'some_malicious_script' https://your-liferay-portal/scriptconsole • java: Review Liferay Portal's security configuration files for proper CSRF protection settings. Check for any disabled or misconfigured CSRF filters.
disclosure
patch
Status do Exploit
EPSS
0.38% (percentil 60%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2024-8980 é a atualização imediata para uma versão corrigida do Liferay Portal ou Liferay DXP. A versão corrigida é 7.4.3.102-GA102. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias, como a restrição do acesso ao Script Console apenas a usuários autorizados e a implementação de políticas de segurança de conteúdo (CSP) para mitigar o risco de ataques CSRF. Monitore logs do sistema em busca de atividades suspeitas e considere a implementação de um Web Application Firewall (WAF) para bloquear solicitações maliciosas. Após a atualização, confirme a correção verificando se o Script Console está devidamente protegido contra ataques CSRF.
Atualize Liferay Portal para uma versão que tenha corrigido a vulnerabilidade CSRF. Consulte o aviso de segurança da Liferay para obter detalhes sobre as versões corrigidas e as instruções de atualização específicas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-8980 is a critical Cross-Site Request Forgery (CSRF) vulnerability in Liferay Portal and DXP versions allowing attackers to execute arbitrary Groovy scripts.
If you are running Liferay Portal or DXP versions 7.0.0 through 7.4.3.101, you are potentially affected by this vulnerability.
Upgrade to Liferay Portal 7.4.3.102-GA102, Liferay DXP 2024.Q1.1, or a later patched version to mitigate the vulnerability.
While no active exploitation campaigns have been publicly confirmed, the critical severity and ease of exploitation make it a high-priority target.
Refer to the official Liferay security advisory for detailed information and updates: [https://liferay.com/security/advisory/liferay-portal-dxp-csrf-script-console](https://liferay.com/security/advisory/liferay-portal-dxp-csrf-script-console)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.