フィードバックを送信
legacy-knowledge-base
公開されました Jun. 30, 2025

CVE-2020-7961に対する脆弱性のテスト方法

投稿者

Neil Cuzon

knowledge-article-header-disclaimer-how-to

knowledge-article-header-disclaimer

legacy-article

learn-legacy-article-disclaimer-text

問題

  • CVE-2020-7961の脆弱性があるかどうかを判断したい。

環境

  • DXP7.3、DXP7.2、DXP7.1、DXP7.0

解像度

  • CVE-2020-7961の脆弱性をテストする手順は以下の通りです:

    1. Liferay バンドル

    2.
    while true; do curl -X POST -H 'Content-Type: application/x-www-form-urlencoded' --data-binary 'cmd={"/expandocolumn/add-column":{}}&formDate=0&tableId=0&name=&type=0&%2bdefaultData:com.mchange.v2.c3p0.WrapperConnectionPoolDataSource={"userOverridesAsString": "HexAsciiSerializedMap[aced0005757200135b4c6a6176612e6c616e672e4f626a6563743b90ce589f1073296c02000078707ffffff7]"}' http://127.0.0.1:8080/api/jsonws/invoke > /dev/null 2>&1; done

    3. 下記は期待されるレスポンスです:
    ERROR [http-nio-8080-exec-7][JSONWebServiceServiceAction:126] com.mchange.v2.c3p0.WrapperConnectionPoolDataSource is not allowed to be instantiated

    4. Liferay Portalが応答しなくなった場合は、Liferayサポートに連絡してください。

    注:既存の回避策 は、 portal-ext.properties: jsonws.servlet.hosts.allowed=Not/Availableを使ってJSONWSコンポーネント全体へのアクセスを無効にすることです。
    しかし、 この false に設定すると、JSON ウェブサービス呼び出しを行うポートレットが動作しなくなります。

追加情報

did-this-article-resolve-your-issue
legacy-knowledge-base
did-this-article-resolve-your-issue