Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-04180

CVSS: 9.8

20.03.2020

Уязвимость веб-службы JSON (JSONWS) веб-интерфейса для доступа к корпоративным приложениям Liferay Portal, позволяющая нарушителю выполнить произвольный код

Уязвимость веб-службы JSON (JSONWS) веб-интерфейса для доступа к корпоративным приложениям Liferay Portal связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	20.03.2020
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/117954271

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-502	Десериализация недоверенных данных

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2020-7961	Deserialization of Untrusted Data in Liferay Portal prior to 7.2.1 CE GA2 allows remote attackers to execute arbitrary code v...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
10	CRITICAL	2.0	AV:N/AC:L/Au:N/C:C/I:C/A:C
9.8	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2020-7961

Вендор:	Liferay
Тип ПО:	Сетевое средство Прикладное ПО информационных систем
Наименование ПО:	Liferay Portal
Версия ПО:	до 7.2.0 (Liferay Portal)
Ссылки на источники:	http://packetstormsecurity.com/files/157254/Liferay-Portal-Java-Unmarshalling-Remote-Code-Execution.html http://packetstormsecurity.com/files/158392/Liferay-Portal-Remote-Code-Execution.html https://portal.liferay.dev/learn/security/known-vulnerabilities https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/117954271 https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-04180