Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/07/2014
Múltiples vulnerabilidades en Liferay
Se han identificado distintas vulnetabilidades en el CMS web Liferay.Se han identificado diversas vulnerabilidades de seguridad en el gestor de contenidos Liferay. Las vulnerabilidades comprenden desde diversos cross-site scripting (XSS), redirecciones no validadas y fuga de información del servidor.
Se dan detalles de cada una de ellas a continuación:
- Fuga de Información: Se han identificado dos vulnerabilidades que permiten a un usuario invitado para obtener una lista de los sitios y la definición del flujo de trabajo en el portal mediante la manipulación de la URL. Es importante destacar que el usuario sólo puede ver el nombre de la definición de sitio y el flujo de trabajo, y en ningún caso realizar ningún cambio sobre las mismas .
- Múltiples redirecciones no validadas en la versión 6.2.1: Se han identificado dos redirecciones no validadas, una relacionada con el portlet de documentos y medios de comunicación, y otra relacionada con CAS, ambas se podrían emplear en una estafa de phishing para redirigir a los usuarios a un sitio malicioso.
- Diversos problemas de XSS en la versión 6.2.1: Se han identificado diversas vulnerabilidades XSS descubiertas en las aplicaciones incluidas con Liferay Liferay Portal 6.2 CE GA2 (6.2.1).
Liferay CE GA2 6.2.1
Referencias:No n’hi ha.
Solución:Se han liberado parches de seguridad (hotfix) para subsanar el problema de forma previa a la emisión de una nueva versión de Liferay, se pueden descargar aquí. Facilitamos las instrucciones de instalación, también suministradas por el fabricante.
Notas:Más información sobre las vulnerabilidades en:
CST-SA: LPS-48763 Guest users can obtain list of sites and workflow definition
CST-SA: LPS-48667 Multiple unvalidated redirects in 6.2.1
CST-SA: LPS-48071 Various XSS issues in 6.2.1 (Part 3)