发布日期：2023-05-24

更新日期：2023-07-24

受影响系统：

Liferay Liferay Portal 7.4.3.67

Liferay Liferay DXP 7.4.67

描述：

CVE(CAN) ID: CVE-2023-33948

Liferay Portal和Liferay DXP都是美国Liferay公司的产品，Liferay Portal是一套基于J2EE的门户解决方案，该方案使用了EJB以及JMS等技术，并可作为Web发布和共享工作区、企业协作平台、社交网络等，Liferay DXP是一套数字化体验协作平台。

Liferay Portal 7.4.3.67版本和Liferay DXP 7.4.67版本存在身份验证错误漏洞，该漏洞源于Dynamic Data Mapping模块限制不严，攻击者可利用该漏洞从Document和Media下载任意文件。

< *链接：https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-33

*>

建议：

厂商补丁：

Liferay

-------

Liferay已经为此发布了一个安全公告（CVE-2023-33948）以及相应补丁:

CVE-2023-33948：CVE-2023-33948 Unauthorized access to Document and Media files via Forms

链接：https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-33

浏览次数：34

严重程度：0（网友投票）