CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

04/12/2019

Varias vulnerabilidades en Liferay Portal

Detectada una vulnerabilidad crítica y otras de alta criticidad en Liferay, la plataforma digital para la gestión de contenidos de código abierto y que está escrito en Java.

Riesgo: Crítico

Liferay es un CMS muy utilizado para el diseño web empresarial. Las vulnerabilidades encontradas permitirían a un atacante la ejecución o incluso inyección de código de manera remota, además de poder provocar denegaciones de servicio (DoS), obtener credenciales e incluso llevar a cabo acciones en los recursos del sistema.

Más información.

Sistemas Afectados:

Liferay Portal, versión 7.2.0 y anteriores.

Referencias:

None

Solución:

Actualizar tan pronto salga la nueva versión, que será la versión Liferay Portal 7.2.1 o posterior.

Notas:

Referencias:

CST-7205 Unauthenticated Remote code execution via JSONWS
CST-7210 Email and password disclosure in Sign In
CST-7207 Open redirect in Account Settings
CST-7204 Mail server DoS using /user/send-password-by-*
CST-7202 Multiple permission vulnerabilities in 7.2 CE GA1
CST-7201 Multiple XSS vulnerabilities in 7.2 CE GA1

Fuente: incibe-cert.es

CSIRT-CV