发布日期：2024-10-22
更新日期：2024-11-26

受影响系统：

Liferay Liferay Liferay Portal 7.4.0 - 7.4.3.1
Liferay Liferay Liferay DXP 2023.Q4.0 - 2023.Q
Liferay Liferay 7.4
Liferay Liferay 7.3 Update 29 - Update 35
Liferay Liferay 2023.Q3.1 - 2023.Q3.5

描述：

---

CVE(CAN) ID: CVE-2024-26273

Liferay Portal和Liferay DXP都是美国Liferay公司的产品，Liferay Portal是一套基于J2EE的门户解决方案，该方案使用了EJB以及JMS等技术，并可作为Web发布和共享工作区、企业协作平台、社交网络等，Liferay DXP是一套数字化体验协作平台。
Liferay Portal和Liferay DXP存在跨站请求伪造漏洞，受影响版本如下：Liferay Portal 7.4.0至7.4.3.103版本和Liferay DXP 2023.Q4.0至2023.Q4.2版本、2023.Q3.1至2023.Q3.5版本、7.4版本、7.3 Update 29至Update 35版本，攻击者可利用该漏洞更改用户密码、关闭服务器和在脚本控制台中执行任意代码等。

<**>

建议：

---

厂商补丁：

Liferay
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2024-26273

浏览次数：109
严重程度：0（网友投票）