Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Liferay Portal

Múltiples vulnerabilidades en Liferay Portal

Fecha de publicación: 
01/09/2020
Importancia: 
5 - Crítica
Recursos afectados: 

Liferay Portal, versiones anteriores a 7.3.3.

Descripción: 

Liferay Portal ha informado de 3 vulnerabilidades, todas de severidad alta o crítica, de tipo omisión de comprobación de URL y denegación de servicio (DoS).

Solución: 

Actualizar a las siguientes versiones:

Detalle: 
  • Liferay Portal no decodifica una URL antes de determinar si se debe servir el recurso, lo que podría permitir a un atacante remoto acceder a los recursos de portlet restringidos a través de URL con doble codificación. Se ha reservado el identificador CVE-2020-15840 para esta vulnerabilidad.
  • Liferay Portal no restringe el tamaño del valor multipart/form-data del atributo enctype en una petición POST, lo que podría permitir a un usuario autenticado de forma remota realizar ataques de denegación de servicio mediante la carga de archivos grandes. Se ha reservado el identificador CVE-2020-15839 para esta vulnerabilidad.
  • El módulo de redireccionamiento en Liferay Portal no limita la cantidad de URL generadas al registrarse un código de error 404, lo que podría permitir a un atacante remoto realizar un ataque de denegación de servicio al enviar solicitudes repetidas de páginas que no existen. Se ha reservado el identificador CVE-2020-24554 para esta vulnerabilidad.

Además de estas vulnerabilidades, Liferay ha informado de otras de menor criticidad. Para más información consulte la página de reporte de vulnerabilidades del fabricante.

Encuesta valoración