Detectadas múltiples vulnerabilidades en Liferay Portal CE
Se han detectado vulnerabilidades en Liferay Portal CE que a través de la carga de archivos grandes podrían provocar una denegación del servicio.
Riesgo: Alto
Al omitirse la validación de carga de archivos se puede permitir cargar archivos muy grandes los cuales se pueden utilizar en un ataque de denegación de servicio (DoS). Los archivos que se omiten durante la validación son:
- PrimeFaces 6.2+ p:fileUpload.
- RichFaces rich:fileUpload.
- com.liferay.faces.bridge.uploadedFileMaxSize on IceFaces ace:fileEntry.
- com.liferay.faces.util.uploadedFileMaxSize con alloy:inputFile en Portlets.
- IceFaces 1.8 ice:inputFile.
Los recursos afectados son:
- com.liferay.faces.bridge.impl-4.1.2
- com.liferay.faces.bridge.impl-3.1.0
- liferay-faces-bridge-impl-4.2.5-ga6
- liferay-faces-bridge-impl-3.2.5-ga6
- liferay-faces-bridge-impl-3.1.5-ga6
- liferay-faces-bridge-impl-3.0.5-ga6
- liferay-faces-bridge-impl-3.0.5-legacy-ga6
- com.liferay.faces.bridge.impl-4.1.2
- com.liferay.faces.bridge.impl-3.1.0
- liferay-faces-bridge-impl-4.2.5-ga6
- liferay-faces-bridge-impl-3.2.5-ga6
- liferay-faces-bridge-impl-3.1.5-ga6
- liferay-faces-bridge-impl-3.0.5-ga6
- liferay-faces-bridge-impl-3.0.5-legacy-ga6
- com.liferay.faces.bridge.impl-4.1.2
- com.liferay.faces.bridge.impl-3.1.0
- liferay-faces-bridge-impl-4.2.5-ga6
- liferay-faces-bridge-impl-3.2.5-ga6
Sistemas Afectados:
- Liferay Portal 5.2
- Liferay Portal 6.0
- Liferay Portal 6.1
- Liferay Portal 6.2
- Liferay Portal 7.0
- Liferay Portal 7.1
- Pluto Portal 2.0
Referencias: None
Solución:Aplicar el parche en función de la versión afectada.
Notas: Más información:
DoS via large file upload