Множественные уязвимости в Liferay Portal

Дата публикации:
24.10.2012
Всего просмотров:
708
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
4
CVSSv2 рейтинг:
(AV:N/AC:L/Au:S/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4/Temporal:3
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:5.8/Temporal:4.3
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Liferay Portal 6.x
Уязвимые версии:Liferay Portal

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю осуществить XSS-атаку.

1. Уязвимость существует из-за ошибки при обработке разрешений организации. Удаленный пользователь может изменить пароль omni-admin, если omni-admin входит в организацию.

Примечание: Для успешной эксплуатации уязвимости № 1 требуются привилегии администратора организации. 2. Уязвимость существует из-за недостаточной обработки входных данных в полях комментариев при запросе на членство в группе. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

3. Уязвимость существует из-за недостаточного ограничения доступа к приватным объявлениям и приватным сайтам Удаленный пользователь может с помощью специально сформированного URL получить изменить содержимое объявления.

4. Уязвимость существует из-за ошибки при обработке определенных разрешений. Удаленный пользователь может удалить произвольную пользовательскую учетную запись.

Примечание: Успешная эксплуатация уязвимости требует наличия адреса электронной почты пользователя.

URL производителя: http://www.liferay.com

Решение: Для устранения уязвимости установите продукт версии с сайта производителя.

Ссылки: http://www.liferay.com/community/security-team/known-vulnerabilities

или введите имя

CAPTCHA