CVE-2023-33947
NiskieCVSS 2.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 44 — wyżej niż 44% wszystkich znanych CVE
Streszczenie
Moduł obiektów w Liferay Portal w wersjach od 7.4.3.4 do 7.4.3.60 oraz Liferay DXP 7.4 przed aktualizacją 61 nie segmentuje definicji obiektów według wirtualnej instancji w wyszukiwaniach. Umożliwia to zdalnym, uwierzytelnionym użytkownikom w jednej wirtualnej instancji przeglądanie definicji obiektów z drugiej wirtualnej instancji.
Ocena ryzyka
Ryzyko polega na tym, że użytkownicy mogą uzyskać dostęp do poufnych informacji z innych wirtualnych instancji, co może prowadzić do naruszenia prywatności danych i bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację Liferay Portal do wersji 7.4.3.61 lub nowszej, aby zlikwidować tę podatność oraz zapewnić odpowiednią segmentację definicji obiektów.
Oryginalny opis (angielski, źródło NVD)
The Object module in Liferay Portal 7.4.3.4 through 7.4.3.60, and Liferay DXP 7.4 before update 61 does not segment object definition by virtual instance in search which allows remote authenticated users in one virtual instance to view object definition from a second virtual instance by searching for the object definition.

