Inicio / Content / Boletín de INCIBE-CERT del 25-01-2022

Boletín de INCIBE-CERT del 25-01-2022

Limitación incorrecta de la ruta a un directorio restringido en Liferay Portal

Fecha de publicación: 
25/01/2022
Importancia: 
5 - Crítica
Recursos afectados: 

Módulo Hypermedia REST APIs en Liferay Portal, versiones 7.4.0 hasta 7.4.2.

Descripción: 

Se ha identificado una vulnerabilidad crítica de limitación incorrecta de la ruta a un directorio restringido (path traversal) en Hypermedia REST APIs de Liferay Portal.

Solución: 

No hay ningún parche disponible para Liferay Portal 7.4.2 y anteriores. En su lugar, los usuarios deben actualizar a Liferay Portal 7.4.3.4 GA4 (7.4.3.4).

Detalle: 

Esta vulnerabilidad podría permitir a un atacante remoto acceder a archivos fuera de com.liferay.headless.discovery.web/META-INF/resources a través del parámetro 'parameter'.

Encuesta valoración