Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/03/2020
Varias vulnerabilidades en Liferay Portal
Encontradas 2 vulnerabilidades críticas en Liferay, que permitirían la ejecución de código remoto por un atacante autenticado.La plantilla DDM es vulnerable en muchas versiones, lo cual permitiría la consulta de archivos o la ejecución de código arbitrario, por un atacante remoto que consiguiera autenticarse.
La primera vulnerabilidad podría permitir a un atacante remoto, autenticado, con permisos de creación y edición de plantillas, visualizar cualquier archivo legible por el proceso JVM del portal, mientras que la segunda vulnerabilidad podría permiti generar plantillas que pueden ejecutar código arbitrario.
Se recomienda actualizar lo antes posible, ya que existe una prueba de concepto publicada en Internet, y en este momento la vulnerabilidad está siendo explotada.
Sistemas Afectados:- Liferay Portal, versión 6.2.5 y anteriores;
- Liferay Portal, versión 7.0.0 y anteriores.
CVE-2020-7961
Solución:- Liferay Portal 6.2.5, aplicar el parche de seguridad disponible en GitHub.
- Liferay Portal 7.0.0, no hay parche disponible. Desde Liferay recomiendan actualizar a la versión Liferay Portal 7.0.1 o posterior.