問題
-
監視ツールの中には、定期的なスキャン中に、アクセスを許可すべきでない特定のURLにアクセスしてしまうものがある。
-
通常検出されるURLの中には、アクセスされた機器にLiferayのJS(JavaScript)をダウンロードできるURLがあります。
- 例えば、o/frontend-js-aui-web/liferay/dependency.js.mapという パラメータをバーチャルホストに注入すると、dependency.jsファイルがデバイスにダウンロードされます。
- このファイルをダウンロードする可能性は脆弱性とみなされるのか?
環境
- Liferay DXP 7.4
- Liferay DXP 7.3
- Liferay DXP 7.2
解像度
-
製品の観点からは、コードの一部を見ることができるアクセス可能なファイルが複数ある。 実際、ブラウザに提供されたファイルはすべてダウンロードされる可能性があるが、これを脆弱性と考えるべきではない。
-
Liferay DXPはオープンソースの製品であり、これは予想された動作であり、リスクとは考えていません。
追加情報
- セキュリティチケットの発行に関するベストプラクティスの詳細については、こちらをご覧ください:セキュリティチケットを開く前に
- このトピックについてご質問がある場合は、ヘルプセンターからサポートチームにチケットをお送りください。