Katalog CVE

CVE-2023-33946

NiskieCVSS 2.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.61%

Percentyl 44 — wyżej niż 44% wszystkich znanych CVE

Streszczenie

Moduł Object w Liferay Portal w wersjach 7.4.3.4 do 7.4.3.48 oraz Liferay DXP 7.4 przed aktualizacją 49 nie izoluje poprawnie obiektów w różnych instancjach wirtualnych. Umożliwia to zdalnym uwierzytelnionym użytkownikom w jednej instancji wirtualnej przeglądanie obiektów w innej instancji wirtualnej za pośrednictwem strony administracyjnej zakresu OAuth 2.

Ocena ryzyka

Ryzyko polega na tym, że użytkownicy mogą uzyskać dostęp do danych, które powinny być dla nich niedostępne, co może prowadzić do naruszenia prywatności i bezpieczeństwa danych w organizacji.

Rekomendacja

Zaleca się aktualizację Liferay Portal do wersji 7.4.3.49 lub nowszej, aby zapewnić odpowiednią izolację obiektów w różnych instancjach wirtualnych.

Oryginalny opis (angielski, źródło NVD)

The Object module in Liferay Portal 7.4.3.4 through 7.4.3.48, and Liferay DXP 7.4 before update 49 does properly isolate objects in difference virtual instances, which allows remote authenticated users in one virtual instance to view objects in a different virtual instance via OAuth 2 scope administration page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS