Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

10/06/2020

Vulnerabilitats en Liferay Portal

S'han detectat múltiples vulnerabilitats en el gestor de continguts Liferay Portal.

Quatre de les fallades són de nivell crític i onze de nivell alt-mitjà. Les vulnerabilitats són de tipus:

• Deserialització a Java.
• Pèrdua de contrasenya del proveïdor de dades REST.
• Exposició de credencials LDAP.
• XSS.
• MitM.
• CSRF.
• SSRF.
• Execució remota de codi.
• Elusió de restricció d'extensió d'arxius.
• Injecció de correu.
• Accés a directoris no controlat.
• Falta de comprovació de permisos d'usuaris.
• Instància no configurada d'un widget instanciable.

Sistemes Afectats:

Es veuen afectades les versions següents:

• 7.2.1 i anteriors.
• 7.x anteriors a 7.3.2.
• 7.1.3, 7.2.0, 7.2.1 i possiblement versions anteriors no compatibles.

Referències:

None

Solució:

• Liferay Portal 7.2 GA2 (7.2.1).
• Liferay Portal 7.1 GA4 (7.1.3).
• No hi ha pegat per a Liferay Portal 7.3.1 i anteriors, s'ha d'actualitzar directament a 7.3 CE GA3 (7.3.2) o posteriors.
• No hi ha pegat per a Liferay Portal 7.2.0, s'ha d'actualitzar directament a 7.2 CE GA2 (7.2.1) o posteriors.

Notes:

Més informació.

CSIRT-CV