問題
- LiferayのCVE-2020-28885とCVE-2020-28884の脆弱性について知りたい。
- CVEは、管理者ユーザがGogo ShellモジュールとGroovyスクリプトを通してそれぞれコマンドを注入し、Liferayポータルサーバ上で任意のOSコマンドを実行できる脆弱性であると主張しています。
環境
- DXP 7.4
解像度
- CVE(CVE-2020-28885とCVE-2020-28884)はどちらも、一般的に管理者ユーザに関連するパーミッションと一致する意図的な動作を記述しています。
- Liferayは、管理者がGroovyスクリプトを実行するだけでなく、Gogo Shellにアクセスしてコマンドを実行することが許可されていることは想定内の機能であるため、これらは脆弱性ではないと主張している。 したがって、設計上の欠陥や脆弱性ではない。
- どちらも安全に無視することができるし、gogoシェルとgroovyスクリプトを無効にすることもできる。
追加情報:
- セキュリティ問題報告ポリシー、共通除外項目を参照のこと。
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン