Home / Node / Boletín de INCIBE-CERT del 01-09-2020

Boletín de INCIBE-CERT del 01-09-2020

Múltiples vulnerabilidades en Liferay Portal

Publication date: 
09/01/2020
Importance: 
5 - Crítica
Affected resources: 

Liferay Portal, versiones anteriores a 7.3.3.

Description: 

Liferay Portal ha informado de 3 vulnerabilidades, todas de severidad alta o crítica, de tipo omisión de comprobación de URL y denegación de servicio (DoS).

Solution: 

Actualizar a las siguientes versiones:

Detail: 
  • Liferay Portal no decodifica una URL antes de determinar si se debe servir el recurso, lo que podría permitir a un atacante remoto acceder a los recursos de portlet restringidos a través de URL con doble codificación. Se ha reservado el identificador CVE-2020-15840 para esta vulnerabilidad.
  • Liferay Portal no restringe el tamaño del valor multipart/form-data del atributo enctype en una petición POST, lo que podría permitir a un usuario autenticado de forma remota realizar ataques de denegación de servicio mediante la carga de archivos grandes. Se ha reservado el identificador CVE-2020-15839 para esta vulnerabilidad.
  • El módulo de redireccionamiento en Liferay Portal no limita la cantidad de URL generadas al registrarse un código de error 404, lo que podría permitir a un atacante remoto realizar un ataque de denegación de servicio al enviar solicitudes repetidas de páginas que no existen. Se ha reservado el identificador CVE-2020-24554 para esta vulnerabilidad.

Además de estas vulnerabilidades, Liferay ha informado de otras de menor criticidad. Para más información consulte la página de reporte de vulnerabilidades del fabricante.

Encuesta valoración