Múltiples vulnerabilidades en productos Liferay
Fecha de publicación: 26/06/2019
Importancia:
Crítica
Recursos afectados:
- Liferay Portal 7.1 CE GA3 y versiones anteriores sin soporte.
Descripción:
Liferay ha publicado múltiples vulnerabilidades, una de severidad crítica y cinco de severidad alta, que podrían permitir acceder a información sensible, inyectar código u obtener privilegios indebidos.
Solución:
- Actualizar a Liferay Portal 7.1 CE GA4 (7.1.3) o posterior.
Detalle:
La vulnerabilidad de severidad crítica se refiere a:
- El producto afectado es vulnerable a Server Side Request Forgery (SSRF) a través del proveedor de datos DDM REST, que podría permitir a un atacante acceder a información confidencial.
El resto de ellas, de severidad alta, son:
- Los hashes de las contraseñas y las respuestas al recordatorio de la contraseña, pueden aparecer en los registros si se produce un error en la base de datos.
- Múltiples vulnerabilidades de XSS, podrían permitir a un atacante remoto inyectar scripts web o HTML arbitrarios en una página.
- Vulnerabilidad de salto de directorio en la sección de encuestas.
- Algunos permisos pueden estar seleccionados por defecto. Esto puede provocar que algunos usuarios reciban permisos indebidos de manera involuntaria.
- La emisión de permisos múltiples podría permitir a los usuarios realizar acciones no autorizadas.
Etiquetas:
Actualización, Vulnerabilidad
Powered by WPeMatico
