Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/04/2019
Detectadas múltiples vulnerabilidades en Liferay Portal CE
Se han detectado vulnerabilidades en Liferay Portal CE que a través de la carga de archivos grandes podrían provocar una denegación del servicio.Riesgo: Alto
Al omitirse la validación de carga de archivos se puede permitir cargar archivos muy grandes los cuales se pueden utilizar en un ataque de denegación de servicio (DoS). Los archivos que se omiten durante la validación son:
- PrimeFaces 6.2+ p:fileUpload.
- RichFaces rich:fileUpload.
- com.liferay.faces.bridge.uploadedFileMaxSize on IceFaces ace:fileEntry.
- com.liferay.faces.util.uploadedFileMaxSize con alloy:inputFile en Portlets.
- IceFaces 1.8 ice:inputFile.
Los recursos afectados son:
- com.liferay.faces.bridge.impl-4.1.2
- com.liferay.faces.bridge.impl-3.1.0
- liferay-faces-bridge-impl-4.2.5-ga6
- liferay-faces-bridge-impl-3.2.5-ga6
- liferay-faces-bridge-impl-3.1.5-ga6
- liferay-faces-bridge-impl-3.0.5-ga6
- liferay-faces-bridge-impl-3.0.5-legacy-ga6
- com.liferay.faces.bridge.impl-4.1.2
- com.liferay.faces.bridge.impl-3.1.0
- liferay-faces-bridge-impl-4.2.5-ga6
- liferay-faces-bridge-impl-3.2.5-ga6
- liferay-faces-bridge-impl-3.1.5-ga6
- liferay-faces-bridge-impl-3.0.5-ga6
- liferay-faces-bridge-impl-3.0.5-legacy-ga6
- com.liferay.faces.bridge.impl-4.1.2
- com.liferay.faces.bridge.impl-3.1.0
- liferay-faces-bridge-impl-4.2.5-ga6
- liferay-faces-bridge-impl-3.2.5-ga6
- Liferay Portal 5.2
- Liferay Portal 6.0
- Liferay Portal 6.1
- Liferay Portal 6.2
- Liferay Portal 7.0
- Liferay Portal 7.1
- Pluto Portal 2.0
None
Solución:Aplicar el parche en función de la versión afectada.
Notas:Más información:
DoS via large file upload
Fuente: Incibe-cert