{
  "document" : {
    "aggregate_severity" : {
      "text" : "hoch"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Liferay DXP (Digital Experience Platform) ist eine erweiterte und kommerziell unterstützte Version von Liferay Portal, die zusätzliche Funktionen und Dienste bietet.\r\nLiferay Portal ist eine Open-Source-Webplattform für Unternehmen, die ein Framework für die Erstellung und Verwaltung von webbasierten Anwendungen und Inhalten bietet.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter Angreifer kann mehrere Schwachstellen in Liferay Liferay DXP und Liferay Liferay Portal ausnutzen, um Sicherheitsmaßnahmen zu umgehen, Dateien zu manipulieren, vertrauliche Informationen offenzulegen oder seine Privilegien zu erweitern.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2024-0428 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0428.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2024-0428 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0428"
    }, {
      "category" : "external",
      "summary" : "Liferay Known Vulnerabilities vom 2024-02-19",
      "url" : "https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2023-44308"
    }, {
      "category" : "external",
      "summary" : "Liferay Known Vulnerabilities vom 2024-02-19",
      "url" : "https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2022-45320"
    }, {
      "category" : "external",
      "summary" : "Liferay Known Vulnerabilities vom 2024-02-19",
      "url" : "https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25149"
    }, {
      "category" : "external",
      "summary" : "Liferay Known Vulnerabilities vom 2024-02-19",
      "url" : "https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25150"
    }, {
      "category" : "external",
      "summary" : "Liferay Known Vulnerabilities vom 2024-02-19",
      "url" : "https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25604"
    }, {
      "category" : "external",
      "summary" : "Liferay Known Vulnerabilities vom 2024-02-19",
      "url" : "https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25606"
    }, {
      "category" : "external",
      "summary" : "Liferay Known Vulnerabilities vom 2024-02-19",
      "url" : "https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25607"
    }, {
      "category" : "external",
      "summary" : "Liferay Known Vulnerabilities vom 2024-02-19",
      "url" : "https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25608"
    } ],
    "source_lang" : "en-US",
    "title" : "Liferay Portal und DXP: Mehrere Schwachstellen",
    "tracking" : {
      "current_release_date" : "2024-03-18T23:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T18:05:27.105+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2024-0428",
      "initial_release_date" : "2024-02-19T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2024-02-19T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      }, {
        "date" : "2024-03-18T23:00:00.000+00:00",
        "number" : "2",
        "summary" : "doppelten Eintrag entfernt"
      } ],
      "status" : "final",
      "version" : "2"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "branches" : [ {
          "category" : "product_version_range",
          "name" : "< 2023.Q3.6",
          "product" : {
            "name" : "Liferay Liferay DXP < 2023.Q3.6",
            "product_id" : "T032912"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.3 service pack 3",
          "product" : {
            "name" : "Liferay Liferay DXP < 7.3 service pack 3",
            "product_id" : "T032915"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.2 fix pack 15",
          "product" : {
            "name" : "Liferay Liferay DXP < 7.2 fix pack 15",
            "product_id" : "T032916"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.3 update 4",
          "product" : {
            "name" : "Liferay Liferay DXP < 7.3 update 4",
            "product_id" : "T032917"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.2 fix pack 19",
          "product" : {
            "name" : "Liferay Liferay DXP < 7.2 fix pack 19",
            "product_id" : "T032918"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.4 update 1",
          "product" : {
            "name" : "Liferay Liferay DXP < 7.4 update 1",
            "product_id" : "T032921"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.2 fix pack 17",
          "product" : {
            "name" : "Liferay Liferay DXP < 7.2 fix pack 17",
            "product_id" : "T032924"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.4 update 4",
          "product" : {
            "name" : "Liferay Liferay DXP < 7.4 update 4",
            "product_id" : "T032925"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.4 update 16",
          "product" : {
            "name" : "Liferay Liferay DXP < 7.4 update 16",
            "product_id" : "T032928"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.4 update 19",
          "product" : {
            "name" : "Liferay Liferay DXP < 7.4 update 19",
            "product_id" : "T032931"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.2 fix pack 20",
          "product" : {
            "name" : "Liferay Liferay DXP < 7.2 fix pack 20",
            "product_id" : "T032934"
          }
        } ],
        "category" : "product_name",
        "name" : "Liferay DXP"
      }, {
        "branches" : [ {
          "category" : "product_version_range",
          "name" : "< 7.4.3.102",
          "product" : {
            "name" : "Liferay Liferay Portal < 7.4.3.102",
            "product_id" : "T032913"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.4.2",
          "product" : {
            "name" : "Liferay Liferay Portal < 7.4.2",
            "product_id" : "T032914"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.4.3.4",
          "product" : {
            "name" : "Liferay Liferay Portal < 7.4.3.4",
            "product_id" : "T032919"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.4.3.5",
          "product" : {
            "name" : "Liferay Liferay Portal < 7.4.3.5",
            "product_id" : "T032920"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.4.3.8",
          "product" : {
            "name" : "Liferay Liferay Portal < 7.4.3.8",
            "product_id" : "T032923"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.4.3.14",
          "product" : {
            "name" : "Liferay Liferay Portal < 7.4.3.14",
            "product_id" : "T032927"
          }
        }, {
          "category" : "product_version_range",
          "name" : "< 7.4.3.19",
          "product" : {
            "name" : "Liferay Liferay Portal < 7.4.3.19",
            "product_id" : "T032930"
          }
        } ],
        "category" : "product_name",
        "name" : "Liferay Portal"
      } ],
      "category" : "vendor",
      "name" : "Liferay"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2024-25608",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in Liferay Liferay DXP. Diese Fehler bestehen aufgrund eines offenen Redirect-Problems, das es erlaubt, Benutzer auf beliebige externe URLs umzuleiten. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
    } ],
    "release_date" : "2024-02-19T23:00:00.000+00:00",
    "title" : "CVE-2024-25608"
  }, {
    "cve" : "CVE-2023-5190",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in Liferay Liferay DXP. Diese Fehler bestehen aufgrund eines offenen Redirect-Problems, das es erlaubt, Benutzer auf beliebige externe URLs umzuleiten. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
    } ],
    "release_date" : "2024-02-19T23:00:00.000+00:00",
    "title" : "CVE-2023-5190"
  }, {
    "cve" : "CVE-2023-44308",
    "notes" : [ {
      "category" : "description",
      "text" : "Es bestehen mehrere Schwachstellen in Liferay Liferay DXP. Diese Fehler bestehen aufgrund eines offenen Redirect-Problems, das es erlaubt, Benutzer auf beliebige externe URLs umzuleiten. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
    } ],
    "release_date" : "2024-02-19T23:00:00.000+00:00",
    "title" : "CVE-2023-44308"
  }, {
    "cve" : "CVE-2024-25149",
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in Liferay Liferay Portal und Liferay Liferay DXP. Dieser Fehler besteht aufgrund einer unzulässigen Mitgliedschaftsbeschränkung. Ein entfernter, authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Benutzer, die nicht Mitglied der übergeordneten Site sind, einer untergeordneten Site hinzuzufügen und so Dateien zu manipulieren."
    } ],
    "release_date" : "2024-02-19T23:00:00.000+00:00",
    "title" : "CVE-2024-25149"
  }, {
    "cve" : "CVE-2024-25150",
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in Liferay Liferay Portal und Liferay Liferay DXP. Dieser Fehler besteht im Control Panel, da die vollständigen Namen der Benutzer im Titel der Seite gespeichert werden. Ein entfernter, authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen."
    } ],
    "product_status" : {
      "known_affected" : [ "T032915", "T032916", "T032924", "T032914" ]
    },
    "release_date" : "2024-02-19T23:00:00.000+00:00",
    "title" : "CVE-2024-25150"
  }, {
    "cve" : "CVE-2024-25604",
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in Liferay Liferay DXP und Liferay Liferay Portal. Dieser Fehler besteht aufgrund einer unsachgemäßen Berechtigungsverwaltung und ermöglicht es, die eigenen Berechtigungen über den Abschnitt \"User and Organizations\" des Control Panels zu bearbeiten. Ein entfernter, authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um seine Privilegien zu erweitern."
    } ],
    "product_status" : {
      "known_affected" : [ "T032916", "T032919" ]
    },
    "release_date" : "2024-02-19T23:00:00.000+00:00",
    "title" : "CVE-2024-25604"
  }, {
    "cve" : "CVE-2024-25605",
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in Liferay Liferay DXP und Liferay Liferay Portal. Dieser Fehler besteht aufgrund einer unsachgemäßen Zugriffsverwaltung, die es ermöglicht, beliebige Vorlagen über die Benutzeroberfläche oder die API anzuzeigen. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen."
    } ],
    "product_status" : {
      "known_affected" : [ "T032916" ]
    },
    "release_date" : "2024-02-19T23:00:00.000+00:00",
    "title" : "CVE-2024-25605"
  }, {
    "cve" : "CVE-2024-25606",
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in Liferay Liferay Portal und Liferay Liferay DXP. Dieser Fehler besteht aufgrund eines XXE-Problems, das die Bereitstellung von Widgets/Portlets/Erweiterungen ermöglicht. Ein entfernter, privilegierter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen."
    } ],
    "product_status" : {
      "known_affected" : [ "T032920", "T032931", "T032921", "T032915", "T032924", "T032914", "T032919", "T032918" ]
    },
    "release_date" : "2024-02-19T23:00:00.000+00:00",
    "title" : "CVE-2024-25606"
  }, {
    "cve" : "CVE-2024-25607",
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in Liferay Liferay Portal und Liferay Liferay DXP. Dieser Fehler besteht aufgrund des standardmäßigen Hashing-Algorithmus, der es ermöglicht, Passwort-Hashes schnell zu knacken. Ein entfernter, authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen."
    } ],
    "product_status" : {
      "known_affected" : [ "T032923", "T032920", "T032921", "T032915", "T032916", "T032914", "T032919" ]
    },
    "release_date" : "2024-02-19T23:00:00.000+00:00",
    "title" : "CVE-2024-25607"
  } ]
}