Múltiples vulnerabilitats en productes de Liferay

Liferay ha publicat diverses vulnerabilitats de diferents severitats, de les quals 11 són crítiques i podrien permetre que un atacant injecte seqüències d’ordes de manera remota (XSS). 

Anàlisi

 Les 11 vulnerabilitats esmentades en este avís són de tipus Cross-site scripting (XSS) d’emmagatzematge i reflectides. Un atacant remot autenticat podria injectar seqüències d’ordes web o HTML de la seua elecció a través d’una càrrega útil (payload) dissenyada en diferents camps o paràmetres.

S’han assignat els identificadors CVE-2023-40191, CVE-2024-26266, CVE-2024-26269, CVE-2023-42496, CVE-2024-25603, CVE-2024-25152, CVE-2024-25601, CVE-2024-25602, CVE-2024-25147, CVE-2024-25610 y CVE-2023-42498 per a estes vulnerabilitats. 

Recursos afectats

• • Liferay Portal:
    7.2.0 y 7.2.1;
    7.3.0 a 7.3.7;
    7.4.0 a 7.4.3.4;
    7.4.0 a 7.4.2;
    7.4.0 a 7.4.3.12;
    7.4.0 a 7.4.3.38;
    7.4.0 a 7.4.3.44;
    7.4.0 a 7.4.3.97;
    Versions anteriors no compatibles.

• • Liferay DXP:

7.2 abans del fixpack 15, 17 i 19;

7.3 abans de l’actualització 4, 11 i 34;

7.3 abans del service pack 3;

7.4 abans de l’actualització 9, 38, 44, 92, 97;

7.4 (totes les versions per a CVE-2023-42496);

2023.Q3 abans del pedaç 5 i 6;

2024.Q1 abans del pedaç 26266, 26269, 25147, 25152, 25601, 25602, 25603 i 25610;

 Versions anteriors no compatibles.

Recomanacions

Actualitza a les versions fixes en funció dels recursos afectats:

• • Portal Liferay:

7.4.2
7.4.3.4
7.4.3.5
7.4.3.13
7.4.3.14
7.4.3.38
7.4.3.98

• • Liferay DXP:

7.2 15
7.2 17
7.2 20
7.3 paquet de servici 3
7.3 actualització 4, 11 o 34
7.4 actualització 1, 9, 10, 38 o 92
2023.Q3.5
2023.Q3.6

Revisa el llistat de ‘Referències’ per a identificar la versió d’actualització corresponent a la versió afectada.

Referències