CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

22/05/2012

Dos vulnerabilidades de seguridad en Liferay Portal

Han sido reportadas dos vulnerabilidades en Liferay Portal, que pueden ser explotadas por usuarios maliciosos para saltarse ciertas restricciones de seguridad y por personas maliciosas para comprometer un sistema vulnerable.

Riesgo: Alto

1) Un error en el método "updateOrganizations" de la clase UserServiceUtil, puede ser aprovechado para añadir un usuario a una organización arbitraria.

2) Un error en el filtro de manipulación de IP, de los objetivos hacia adelante, puede ser aprovechado para eludir el filtro y obtener acceso no autorizado aservicios web determinados, y además puede ser explotado para comprometer un sistema vulnerable a través de, por ejemplo, solicitudes especialmente diseñadas para el servicio web "túnel".

Sistemas Afectados:

Liferay Portal 6.x

Referencias:

None

Solución:

Según se informa, está corregido en las versiones 6.1 y 6.1 de la CE GA1 GA1 EE.

Notas:

Liferay Portal Privilege Escalation
No Account Access Bypass

Fuente: Secunia Advisories

CSIRT-CV