Katalog CVE

CVE-2023-33947

NiskieCVSS 2.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.61%

Percentyl 44 — wyżej niż 44% wszystkich znanych CVE

Streszczenie

Moduł obiektów w Liferay Portal w wersjach od 7.4.3.4 do 7.4.3.60 oraz Liferay DXP 7.4 przed aktualizacją 61 nie segmentuje definicji obiektów według wirtualnej instancji w wyszukiwaniach. Umożliwia to zdalnym, uwierzytelnionym użytkownikom w jednej wirtualnej instancji przeglądanie definicji obiektów z drugiej wirtualnej instancji.

Ocena ryzyka

Ryzyko polega na tym, że użytkownicy mogą uzyskać dostęp do poufnych informacji z innych wirtualnych instancji, co może prowadzić do naruszenia prywatności danych i bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację Liferay Portal do wersji 7.4.3.61 lub nowszej, aby zlikwidować tę podatność oraz zapewnić odpowiednią segmentację definicji obiektów.

Oryginalny opis (angielski, źródło NVD)

The Object module in Liferay Portal 7.4.3.4 through 7.4.3.60, and Liferay DXP 7.4 before update 61 does not segment object definition by virtual instance in search which allows remote authenticated users in one virtual instance to view object definition from a second virtual instance by searching for the object definition.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS