Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/05/2012
Dues vulnerabilitats de seguretat en Liferay Portal
Han sigut reportades dues vulnerabilitats en Liferay Portal, que poden ser explotades per usuaris maliciosos per botar-se certes restriccions de seguretat i per persones malicioses per a comprometre un sistema vulnerable.1) Un error en el mètode "updateOrganizations" de la classe UserServiceUtil, pot ser aprofitat per afegir un usuari a una organització arbitrària.
2) Un error en el filtre de manipulació d'IP, de l'objectiu cap avant, pot ser aprofitat per a eludir el filtre i obtindre accés no autoritzat a serveis web determinats, i a més pot ser explotat per a comprometre un sistema vulnerable a través de, per exemple, sol·licituds especialment dissenyades per al servici web "túnel".
Sistemes Afectats:Liferay Portal 6.x
Referències:None
Solució:Segons informen, està corregit a les versions 6.1 i 6.1 de la CE GA1 GA1 EE
Notes:Liferay Portal Privilege Escalation
No Account Access Bypass