Múltiples vulnerabilidades en Liferay

Liferay ha publicado 5 vulnerabilidades críticas que afectan a distintas versiones de sus productos DXP y Portal.

Análisis

Las vulnerabilidades identificadas son de tipo:

• • Cross-Site Scripting (XSS) reflejado o indirecto (CVE-2023-42497 y CVE-2023-44311)
  • Cross-Site Scripting (XSS) persistente o directo (CVE-2023-42629, CVE-2023-44309 y CVE-2023-44310)

Recursos afectados

• • Liferay DXP 7.3 fix pack 1, hasta la actualización 23;
  • Liferay DXP 7.4, antes de la actualización 89;
  • Liferay Portal, desde 7.3.6 hasta 7.4.3.89.

Recomendaciones

Aplicar las actualizaciones siguientes:

• • Liferay DXP 7.3, actualización 24;
  • Liferay DXP 7.4, actualización 90;
  • Liferay Portal 7.4.3.90.

Referencias

• • • CVE-2023-42497 XSS with `redirect` in export translation

    • CVE-2023-42629 Stored XSS vulnerability with vocabulary description

    • CVE-2023-44309 XSS with fragment components

    • CVE-2023-44310 XSS with page name in Page Tree

    • CVE-2023-44311 Reflected XSS with ‘code’ and ‘error’ in OAuth2ProviderApplicationRedirect