CRITICAL🇬🇧 English

CVE-2024-38002

RCE w komponencie workflow Liferay Portal i DXP — brak weryfikacji uprawnień

CVSS 9.0v3.1pub. 2024-10-22upd. 2025-09-10

Komponent workflow w Liferay Portal oraz Liferay DXP nie sprawdza poprawnie uprawnień użytkownika przed aktualizacją definicji workflow. Zalogowany zdalny użytkownik może zmodyfikować definicję workflow i wykonać dowolny kod (RCE) za pośrednictwem headless API.

Pokaż oryginał (EN)

The workflow component in Liferay Portal 7.3.2 through 7.4.3.111, and Liferay DXP 2023.Q4.0 through 2023.Q4.5, 2023.Q3.1 through 2023.Q3.8, 7.4 GA through update 92 and 7.3 GA through update 36 does not properly check user permissions before updating a workflow definition, which allows remote authenticated users to modify workflow definitions and execute arbitrary code (RCE) via the headless API.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej weryfikacji uprawnień (CWE-862, CWE-863) w komponencie workflow. Uwierzytelniony użytkownik z podstawowym dostępem może wysłać żądanie do headless API w celu aktualizacji definicji workflow bez posiadania wymaganych do tego uprawnień. Poprzez podstawienie złośliwej definicji workflow możliwe jest doprowadzenie do wykonania dowolnego kodu po stronie serwera.

Skutki

Atakujący może zmodyfikować definicje workflow i wykonać dowolny kod na serwerze (RCE), co w konsekwencji może prowadzić do pełnego przejęcia kontroli nad systemem, ujawnienia danych lub ich zniszczenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2024-38002). Do czasu aktualizacji zaleca się ograniczenie dostępu do headless API wyłącznie dla zaufanych i autoryzowanych użytkowników.

Kogo dotyczy

Liferay Portal 7.3.2 – 7.4.3.111; Liferay DXP 2023.Q4.0 – 2023.Q4.5, 2023.Q3.1 – 2023.Q3.8, 7.4 GA – update 92, 7.3 GA – update 36

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Liferay Digital Experience Platform

    APP
    Liferay
    7.37.42023.q3.1 – 2023.q3.9 (bez)2023.q4.0 – 2023.q4.6 (bez)
  • Liferay Portal

    APP
    Liferay
    7.3.2 – 7.3.77.4.0 – 7.4.3.112 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2020-7961CRITICAL9.8⚠ KEVten sam produkt

Deserialization of Untrusted Data in Liferay Portal prior to 7.2.1 CE GA2 allows remote attackers to execute a...

CVE-2024-8980CRITICAL9.6PL ✓ten sam produkt

Liferay Portal/DXP: CSRF w Script Console umożliwia wykonanie kodu Groovy

CVE-2023-42496CRITICAL9.6PL ✓ten sam produkt

Reflected XSS w Liferay Portal i DXP na stronie przypisywania ról

CVE-2023-40191CRITICAL9.0PL ✓ten sam produkt

Reflected XSS w ustawieniach kont Liferay Portal i DXP

CVE-2023-42498CRITICAL9.6PL ✓ten sam produkt

Reflected XSS w ekranie Language Override w Liferay Portal i DXP