CVE-2024-8980 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Liferay Portal 脚本控制台存在 CSRF 防御不足。 💥 **后果**：攻击者可利用此漏洞执行恶意操作，导致系统被控或数据泄露。

🔍 **CWE**：CWE-352（跨站请求伪造）。 📍 **缺陷点**：**脚本控制台**未充分验证请求来源，缺乏有效的 CSRF Token 校验机制。

🏢 **厂商**：Liferay。 📦 **产品**：Portal。 🌐 **类型**：基于 J2EE 的企业门户/协作平台。

🔓 **权限**：CVSS 评分显示 **C:H/I:H/A:H**（高机密性/完整性/可用性影响）。 📊 **数据**：可能窃取敏感数据或篡改系统配置，甚至导致服务中断。

🚪 **认证**：PR:N（无需权限/公开）。 👀 **交互**：UI:R（需要用户交互）。 ⚡ **利用**：攻击者需诱导管理员访问恶意链接，门槛中等。

📜 **PoC**：数据中 `pocs` 为空，暂无公开代码。 🌍 **在野**：未提及在野利用情况，但风险已确认。

🔎 **检测**：扫描 Liferay Portal 的 **脚本控制台** 接口。 🛡️ **自查**：检查是否启用了 CSRF 保护，或尝试构造无 Token 的 POST 请求测试响应。

🛠️ **补丁**：官方已发布安全公告（2024-10-22）。 📝 **参考**：访问 Liferay 官方安全页面获取最新修复版本。

🚧 **临时规避**： 1. **禁用**脚本控制台功能（如非必要）。 2. 配置 WAF 拦截可疑的脚本控制台请求。 3. 严格限制控制台访问 IP。

⚠️ **优先级**：**高**。 📅 **CVSS**：向量显示攻击向量网络（AV:N），影响广泛。 💡 **建议**：尽快升级至安全版本，或实施临时缓解措施。