Vulnerabilidad DoS en Liferay

Fecha de publicación: 29/04/2019

Importancia:
Alta

Recursos afectados:

  • com.liferay.faces.bridge.impl-4.1.2
  • com.liferay.faces.bridge.impl-3.1.0
  • liferay-faces-bridge-impl-4.2.5-ga6
  • liferay-faces-bridge-impl-3.2.5-ga6
  • liferay-faces-bridge-impl-3.1.5-ga6
  • liferay-faces-bridge-impl-3.0.5-ga6
  • liferay-faces-bridge-impl-3.0.5-legacy-ga6
  • com.liferay.faces.bridge.impl-4.1.2
  • com.liferay.faces.bridge.impl-3.1.0
  • liferay-faces-bridge-impl-4.2.5-ga6
  • liferay-faces-bridge-impl-3.2.5-ga6
  • liferay-faces-bridge-impl-3.1.5-ga6
  • liferay-faces-bridge-impl-3.0.5-ga6
  • liferay-faces-bridge-impl-3.0.5-legacy-ga6
  • com.liferay.faces.bridge.impl-4.1.2
  • com.liferay.faces.bridge.impl-3.1.0
  • liferay-faces-bridge-impl-4.2.5-ga6
  • liferay-faces-bridge-impl-3.2.5-ga6

Compatibles con algunas de estas versiones:

  • Liferay Portal 5.2
  • Liferay Portal 6.0
  • Liferay Portal 6.1
  • Liferay Portal 6.2
  • Liferay Portal 7.0
  • Liferay Portal 7.1
  • Pluto Portal 2.0

Para más detalles, consulte las referencias.

Descripción:

Múltiples vulnerabilidades en Liferay Portal CE pueden provocar la denegación del servicio a través de la carga de archivos grandes.

Solución:

  • Aplicar el parche adecuado en función de la versión afectada.

Detalle:

  • Cuando se utiliza en conjunto con Liferay Faces Bridge, la validación de carga de archivos puede omitirse, lo que permite cargar archivos muy grandes que se pueden utilizar en un ataque de denegación de servicio (DoS). Los archivos que se omiten durante la validación son:
    • PrimeFaces 6.2+ p:fileUpload.
    • RichFaces rich:fileUpload.
    • com.liferay.faces.bridge.uploadedFileMaxSize on IceFaces ace:fileEntry.
    • com.liferay.faces.util.uploadedFileMaxSize con alloy:inputFile en Portlets.
    • IceFaces 1.8 ice:inputFile.

Encuesta valoración

Etiquetas:
Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.