Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Liferay

Múltiples vulnerabilidades en Liferay

Fecha de publicación: 
04/12/2019
Importancia: 
5 - Crítica
Recursos afectados: 

Liferay Portal, versión 7.2.0 y anteriores.

Descripción: 

Se han detectado 6 vulnerabilidades, una con severidad crítica y cinco con severidades altas. Un atacante remoto podría obtener credenciales de usuario, ejecución o inyección de código, generar una condición de denegación de servicio (DoS) o realizar acciones sin autorización sobre los recursos del sistema.

Solución: 

Actualizar la versión Liferay Portal 7.2.1 o posterior, cuando esté disponible.

Detalle: 
  • La vulnerabilidad de severidad crítica podría permitir a un atacante remoto ejecutar código a través de JSON web services (JSONWS).
  • Las vulnerabilidades catalogadas como altas son debidas a:
    • un fallo en el widget «Sing In» podría revelar las credenciales del usuario en el HTLM.
    • una vulnerabilidad de redirección abierta en los Ajustes de la Cuenta (Account Settings).
    • la API JSONWS /user/send-password-by-*  podría ser utilizada para generar una condición de denegación de servicio en el servidor de correo.
    • múltiples errores en los permisos podrían permitir a usuarios realizar acciones no autorizadas sobre los recursos del sistema.
    • múltiples vulnerabilidades del tipo Cross-site-scripting (XSS) podrían permitir la inyección de código.

Encuesta valoración

Etiquetas: