Liferay ha publicat diverses vulnerabilitats de diferents severitats, de les quals 11 són crítiques i podrien permetre que un atacant injecte seqüències d’ordes de manera remota (XSS).
Anàlisi
Les 11 vulnerabilitats esmentades en este avís són de tipus Cross-site scripting (XSS) d’emmagatzematge i reflectides. Un atacant remot autenticat podria injectar seqüències d’ordes web o HTML de la seua elecció a través d’una càrrega útil (payload) dissenyada en diferents camps o paràmetres.
S’han assignat els identificadors CVE-2023-40191, CVE-2024-26266, CVE-2024-26269, CVE-2023-42496, CVE-2024-25603, CVE-2024-25152, CVE-2024-25601, CVE-2024-25602, CVE-2024-25147, CVE-2024-25610 y CVE-2023-42498 per a estes vulnerabilitats.
Recursos afectats
- Liferay Portal:
7.2.0 y 7.2.1;
7.3.0 a 7.3.7;
7.4.0 a 7.4.3.4;
7.4.0 a 7.4.2;
7.4.0 a 7.4.3.12;
7.4.0 a 7.4.3.38;
7.4.0 a 7.4.3.44;
7.4.0 a 7.4.3.97;
Versions anteriors no compatibles.
- Liferay Portal:
- Liferay DXP:
7.2 abans del fixpack 15, 17 i 19;
7.3 abans de l’actualització 4, 11 i 34;
7.3 abans del service pack 3;
7.4 abans de l’actualització 9, 38, 44, 92, 97;
7.4 (totes les versions per a CVE-2023-42496);
2023.Q3 abans del pedaç 5 i 6;
2024.Q1 abans del pedaç 26266, 26269, 25147, 25152, 25601, 25602, 25603 i 25610;
Versions anteriors no compatibles.
Recomanacions
Actualitza a les versions fixes en funció dels recursos afectats:
- Portal Liferay:
7.4.2
7.4.3.4
7.4.3.5
7.4.3.13
7.4.3.14
7.4.3.38
7.4.3.98
- Liferay DXP:
7.2 15
7.2 17
7.2 20
7.3 paquet de servici 3
7.3 actualització 4, 11 o 34
7.4 actualització 1, 9, 10, 38 o 92
2023.Q3.5
2023.Q3.6
Revisa el llistat de ‘Referències’ per a identificar la versió d’actualització corresponent a la versió afectada.
Referències
- CVE-2023-40191 XSS with with Account “Blocked Email Domains”
- CVE-2024-26266 Stored XSS with user name in Announcements & Alerts
- CVE-2024-26269 XSS with anchor/hash part of a URL in portlet.js
- CVE-2023-42496 XSS with `tabs2` in role assignment
- CVE-2024-25603 Stored XSS with instanceId in DDMForm
- CVE-2024-25152 Stored XSS with message board file attachment
- CVE-2024-25601 Stored XSS with geolocation custom fields
- CVE-2024-25602 Stored XSS with organization name in edit user
- CVE-2024-25147 HtmlUtil.escapeJSLink circumvention
- CVE-2024-25610 Stored XSS with Blog entries (Insecure defaults)
- CVE-2023-42498 XSS with `key` in language override
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-liferay