Vulnerabilidad DoS en Liferay
Fecha de publicación: 29/04/2019
Importancia:
Alta
Recursos afectados:
- com.liferay.faces.bridge.impl-4.1.2
- com.liferay.faces.bridge.impl-3.1.0
- liferay-faces-bridge-impl-4.2.5-ga6
- liferay-faces-bridge-impl-3.2.5-ga6
- liferay-faces-bridge-impl-3.1.5-ga6
- liferay-faces-bridge-impl-3.0.5-ga6
- liferay-faces-bridge-impl-3.0.5-legacy-ga6
- com.liferay.faces.bridge.impl-4.1.2
- com.liferay.faces.bridge.impl-3.1.0
- liferay-faces-bridge-impl-4.2.5-ga6
- liferay-faces-bridge-impl-3.2.5-ga6
- liferay-faces-bridge-impl-3.1.5-ga6
- liferay-faces-bridge-impl-3.0.5-ga6
- liferay-faces-bridge-impl-3.0.5-legacy-ga6
- com.liferay.faces.bridge.impl-4.1.2
- com.liferay.faces.bridge.impl-3.1.0
- liferay-faces-bridge-impl-4.2.5-ga6
- liferay-faces-bridge-impl-3.2.5-ga6
Compatibles con algunas de estas versiones:
- Liferay Portal 5.2
- Liferay Portal 6.0
- Liferay Portal 6.1
- Liferay Portal 6.2
- Liferay Portal 7.0
- Liferay Portal 7.1
- Pluto Portal 2.0
Para más detalles, consulte las referencias.
Descripción:
Múltiples vulnerabilidades en Liferay Portal CE pueden provocar la denegación del servicio a través de la carga de archivos grandes.
Solución:
- Aplicar el parche adecuado en función de la versión afectada.
Detalle:
- Cuando se utiliza en conjunto con Liferay Faces Bridge, la validación de carga de archivos puede omitirse, lo que permite cargar archivos muy grandes que se pueden utilizar en un ataque de denegación de servicio (DoS). Los archivos que se omiten durante la validación son:
- PrimeFaces 6.2+ p:fileUpload.
- RichFaces rich:fileUpload.
- com.liferay.faces.bridge.uploadedFileMaxSize on IceFaces ace:fileEntry.
- com.liferay.faces.util.uploadedFileMaxSize con alloy:inputFile en Portlets.
- IceFaces 1.8 ice:inputFile.
Etiquetas:
Vulnerabilidad
Powered by WPeMatico
