Liferay+Portal+模板注入RCE分析

GHSL小组成员Alvaro Munoz在2020年3月报告了Liferay Portal中的模板注入漏洞,通过其描述可以得知具有编辑模板权限的用户可以实现通过该漏洞实现远程代码执行,而漏洞产生原因是由于绕过了Liferay Portal自定义的安全保护机制从而使得允许通过Freemarker模板实例化任意对象完成沙箱逃逸(CVE-2020-13445)
  • 发表于 2021-04-07 20:02:31
  • 阅读 ( 842 )
  • 分类:漏洞分析

0 条评论

请先 登录 后评论
带头大哥
带头大哥

45 篇文章