Múltiples vulnerabilidades en productos de Liferay

Liferay ha publicado varias vulnerabilidades de diferentes severidades, de las cuales 11 son críticas y podrían permitir a un atacante inyectar secuencias de comandos de forma remota (XSS).

Análisis

Las 11 vulnerabilidades mencionadas en este aviso son de tipo Cross-site scripting (XSS) de almacenamiento y reflejadas. Un atacante remoto autenticado podría inyectar secuencias de comandos web o HTML de su elección a través de un payload diseñado en diferentes campos o parámetros.

Se han asignado los identificadores CVE-2023-40191, CVE-2024-26266, CVE-2024-26269, CVE-2023-42496, CVE-2024-25603, CVE-2024-25152, CVE-2024-25601, CVE-2024-25602, CVE-2024-25147, CVE-2024-25610 y CVE-2023-42498 para estas vulnerabilidades. 

Recursos afectados

• • Liferay Portal:
    7.2.0 y 7.2.1;
    7.3.0 a 7.3.7;
    7.4.0 a 7.4.3.4;
    7.4.0 a 7.4.2;
    7.4.0 a 7.4.3.12;
    7.4.0 a 7.4.3.38;
    7.4.0 a 7.4.3.44;
    7.4.0 a 7.4.3.97;
    Versiones anteriores no compatibles.

• • Liferay DXP:
    7.2 antes del fixpack 15, 17 y 19;
    7.3 antes de la actualización 4, 11 y 34;
    7.3 antes del service pack 3;
    7.4 antes de la actualización 9, 38, 44, 92, 97;
    7.4 (todas las versiones para CVE-2023-42496);
    2023.Q3 antes del parche 5 y 6;
    2024.Q1 antes del parche 26266, 26269, 25147, 25152, 25601, 25602, 25603 y 25610;
    Versiones anteriores no compatibles.

Recomendaciones

Actualiza a las versiones fijas en función de los recursos afectados:

• • Portal Liferay:

7.4.2
7.4.3.4
7.4.3.5
7.4.3.13
7.4.3.14
7.4.3.38
7.4.3.98

• • Liferay DXP:

7.2 15
7.2 17
7.2 20
7.3 paquete de servicio 3
7.3 actualización 4, 11 o 34
7.4 actualización 1, 9, 10, 38 o 92
2023.Q3.5
2023.Q3.6

Revisar el listado de ‘Referencias’ para identificar la versión de actualización correspondiente a la versión afectada.

Referencias