Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/05/2012
1) Un error en el método "updateOrganizations" de la clase UserServiceUtil, puede ser aprovechado para añadir un usuario a una organización arbitraria.
2) Un error en el filtro de manipulación de IP, de los objetivos hacia adelante, puede ser aprovechado para eludir el filtro y obtener acceso no autorizado aservicios web determinados, y además puede ser explotado para comprometer un sistema vulnerable a través de, por ejemplo, solicitudes especialmente diseñadas para el servicio web "túnel".
Sistemas Afectados:Liferay Portal 6.x
Referencias:None
Solución:Según se informa, está corregido en las versiones 6.1 y 6.1 de la CE GA1 GA1 EE.
Notas:Liferay Portal Privilege Escalation
No Account Access Bypass