Home / Node / Múltiples vulnerabilidades en Liferay

Múltiples vulnerabilidades en Liferay

Publication date: 
12/04/2019
Importance: 
5 - Crítica
Affected resources: 

Liferay Portal, versión 7.2.0 y anteriores.

Description: 

Se han detectado 6 vulnerabilidades, una con severidad crítica y cinco con severidades altas. Un atacante remoto podría obtener credenciales de usuario, ejecución o inyección de código, generar una condición de denegación de servicio (DoS) o realizar acciones sin autorización sobre los recursos del sistema.

Solution: 

Actualizar la versión Liferay Portal 7.2.1 o posterior, cuando esté disponible.

Detail: 
  • La vulnerabilidad de severidad crítica podría permitir a un atacante remoto ejecutar código a través de JSON web services (JSONWS).
  • Las vulnerabilidades catalogadas como altas son debidas a:
    • un fallo en el widget «Sing In» podría revelar las credenciales del usuario en el HTLM.
    • una vulnerabilidad de redirección abierta en los Ajustes de la Cuenta (Account Settings).
    • la API JSONWS /user/send-password-by-*  podría ser utilizada para generar una condición de denegación de servicio en el servidor de correo.
    • múltiples errores en los permisos podrían permitir a usuarios realizar acciones no autorizadas sobre los recursos del sistema.
    • múltiples vulnerabilidades del tipo Cross-site-scripting (XSS) podrían permitir la inyección de código.

Encuesta valoración