Múltiples vulnerabilidades en productos Liferay

Fecha de publicación: 26/06/2019

Importancia:
Crítica

Recursos afectados:

  • Liferay Portal 7.1 CE GA3 y versiones anteriores sin soporte.

Descripción:

Liferay ha publicado múltiples vulnerabilidades, una de severidad crítica y cinco de severidad alta, que podrían permitir acceder a información sensible, inyectar código u obtener privilegios indebidos.

Solución:

Detalle:

La vulnerabilidad de severidad crítica se refiere a:

  • El producto afectado es vulnerable a Server Side Request Forgery (SSRF) a través del proveedor de datos DDM REST, que podría permitir a un atacante acceder a información confidencial.

El resto de ellas, de severidad alta, son:

  • Los hashes de las contraseñas y las respuestas al recordatorio de la contraseña, pueden aparecer en los registros si se produce un error en la base de datos.
  • Múltiples vulnerabilidades de XSS, podrían permitir a un atacante remoto inyectar scripts web o HTML arbitrarios en una página.
  • Vulnerabilidad de salto de directorio en la sección de encuestas.
  • Algunos permisos pueden estar seleccionados por defecto. Esto puede provocar que algunos usuarios reciban permisos indebidos de manera involuntaria.
  • La emisión de permisos múltiples podría permitir a los usuarios realizar acciones no autorizadas.

Encuesta valoración

Etiquetas:
Actualización, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.