Множественные уязвимости в Liferay Portal

Дата публикации:
21.05.2012
Дата изменения:
21.05.2012
Всего просмотров:
1755
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:10/Temporal:7.4
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Liferay Portal 6.x
Уязвимые версии:
Liferay Portal 6.1 CE и более ранние версии
Liferay Portal 6.1 EE и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки в методе updateOrganizations в классе UserServiceUtil. Удаленный пользователь может добавить пользователя к произвольной организации.

2. Уязвимость существует из-за ошибки в IP фильтрах при обработке последующих целей. Удаленный пользователь может получить неавторизованный доступ к определенным web-службам и путем обращения web-службе tunnel выполнить произвольный код на целевой системе.

URL производителя: http://www.liferay.com/

Решение: Для устранения уязвимости установите продукт версии 6.1 GA1 CE и 6.1 GA1 EE с сайта производителя.

Ссылки: http://packetstormsecurity.org/files/112677/Liferay-Portal-Privilege-Escalation.html
http://packetstormsecurity.org/files/112735/Liferay-6.1-No-Account-Access-Bypass.html

или введите имя

CAPTCHA