Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Liferay

Múltiples vulnerabilidades en Liferay

Fecha de publicación: 
24/08/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Versión 7.0.1 de Liferay Portal (7.0 CE GA2)

Descripción: 

Se han publicado múltiples vulnerabilidades que afectan a la versión 7.0 CE GA2 del gestor de contenidos Liferay.

Solución: 

Actualización a la versión 7.0.2 de Liferay (Liferay Portal 7.0 CE GA3) o posterior: descarga

Detalle: 

El detalle de las vulnerabilidades solucionadas es el siguiente: 

  • Las búsquedas incluyen resultados a los que el usuario no debería de tener acceso (Alta).
  • La edición de una entrada de blog podría resetear los permisos de acceso al mismo (Alta): lo que podría permitir que usuarios no autorizados vieran entradas sin los permisos oportunos. 
  • Vulnerabilidad XXE en PDFBox (Crítica): PDFBox no inicializa de forma adecuada los parseadores XML, lo que permite a un atacante lanzar ataques XML External Entity (XXE) mediante un PDF diseñado especialmente. 
  • Información expuesta (Alta): Si el nivel de log se establece en DEBUG, se muestran las credenciales LDAP en los logs. 
  • Algunos tipos de URL pueden sortear la protección de redirecciones abiertas del portal (Alta): El portal es vulnerable a redirecciones abiertas de algunos tipos de URL, lo que podría permitir a un atacante redireccionar a un usuario a un sitio web diferente. 
  • XSS en <aui:form> (Alta): Existen dos vulnerabilidades por XSS en <aui:form> que podrían permitir a un atacante la inserción de JavaScript maliciosos. 
  • Varios XSS JavaScript embebidos en el código (Alta): Existen varias vulnerabilidades XSS relacionadas con JavaScript embebido en el código (inline) que pueden permitir la inserción de JavaScript malicioso dentro de la página. 
  • XSS reflejado en Monitoring (Alta): Hay una vulnerabilidad de XSS en Monitoring, que permitiría a un atacante la inserción de código JavaScript malicioso en una página.