Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/07/2014
S’han identificat diverses vulnerabilitats de seguretat en el gestor de continguts Liferay. Les vulnerabilitats comprenen des de diversos cross-site scripting (XSS), readreçaments no validats i fuga d’informació del servidor.
Se’n donen detalls de cada una a continuació:
Fuga d’informació: s’han identificat dos vulnerabilitats que permeten a un usuari invitat obtindre una llista dels llocs i la definició del flux de treball en el portal, per mitjà de la manipulació de l’URL. És important destacar que l’usuari només pot veure el nom de la definició de lloc i el flux de treball, i en cap cas fer-hi cap canvi.
Múltiples readreçaments no validats en la versió 6.2.1: s’han identificat dos readreçaments no validats, un de relacionat amb el portlet de documents i mitjans de comunicació, i un altre relacionat amb CAS. Ambdós es podrien emprar en una estafa de pesca per a readreçar els usuaris a un lloc maliciós.
Diversos problemes d’XSS en la versió 6.2.1: s’han identificat diverses vulnerabilitats XSS descobertes en les aplicacions incloses amb Liferay Liferay Portal 6.2 CE GA2 (6.2.1).
Liferay CE GA2 6.2.1
Referències:No n’hi ha.
Solució:S’han alliberat pegats de seguretat (hotfix) per a esmenar el problema abans de l’emissió d’una nova versió de Liferay. Es poden descarregar ací. Facilitem les instruccions d’instal·lació, també subministrades pel fabricant.
Notes:Més informació sobre les vulnerabilitats en:
CST-SA: LPS-48763 Guest users ca obtain list of sites and workflow definition
CST-SA: LPS-48667 Multiple unvalidated redirects in 6.2.1
CST-SA: LPS-48071 Various XSS issues in 6.2.1 (Part 3)