Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/03/2020
Diverses vulnerabilitats en Liferay Portal
Trobades 2 vulnerabilitats crítiques en Liferay, que permetrien l'execució de codi remot per un atacant autenticat.La plantilla DDM és vulnerable en moltes versions, la qual cosa permetria la consulta d'arxius o l'execució de codi arbitrari, per un atacant remot que aconseguira autenticar-se.
La primera vulnerabilitat podria permetre a un atacant remot, autenticat, amb permisos de creació i edició de plantilles, visualitzar qualsevol arxiu llegible pel procés JVM del portal, mentre que la segona vulnerabilitat podria *permiti generar plantilles que poden executar codi arbitrari.
Es recomana actualitzar al més prompte possible, ja que existeix una prova de concepte publicada en Internet, i en aquest moment la vulnerabilitat està sent explotada.
Sistemes Afectats:- Liferay Portal, versió 6.2.5 i anteriors;
- Liferay Portal, versió 7.0.0 i anteriors.
CVE-2020-7961
Solució:- Liferay Portal 6.2.5, aplicar el pegat de seguretat disponible en GitHub.
- Liferay Portal 7.0.0, no hi ha pegat disponible. Des de Liferay recomanen actualitzar a la versió Liferay Portal 7.0.1 o posterior.