How To articles are not official guidelines or officially supported documentation. They are community-contributed content and may not always reflect the latest updates to Liferay DXP. We welcome your feedback to improve How To articles!
While we make every effort to ensure this Knowledge Base is accurate, it may not always reflect the most recent updates or official guidelines.We appreciate your understanding and encourage you to reach out with any feedback or concerns.
legacy-article
learn-legacy-article-disclaimer-text最近、Mitreにセキュリティ脆弱性が CVE-2019-11444 で提出され、攻撃者がLiferayのGroovyスクリプトコンソールを使ってOSコマンドを実行できると主張しています。
Liferayはこの問題に異議を唱えています。これは、スクリプトの実行がサーバー管理者の役割を持つ人に制限されるという予期された機能であるためです。
Liferayもレポートを分析したところ、関連するアクションクラスで必要なパーミッションチェックがすでに行われていることがわかりました。 このように、デプロイメントには脆弱性はありません。
最後に、スクリプトコンソールを介してOSコマンドを実行する場合、ユーザーはLiferay DXPまたはPortalインスタンスで持っているパーミッションによって制限されます。 例えば、root 以外のユーザがアプリケーションを管理している場合、このユーザは OS にアクセスできても、root 以外のユーザ権限に制限されます。
Capabilities
Product
Education
Knowledge Base
Contact Us