Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Liferay

Fecha de publicación 18/10/2023
Identificador

INCIBE-2023-0449

Importancia
5 - Crítica
Recursos Afectados
  • Liferay DXP 7.3 fix pack 1, hasta la actualización 23;
  • Liferay DXP 7.4, antes de la actualización 89;
  • Liferay Portal, desde 7.3.6 hasta 7.4.3.89.
Descripción

Liferay ha publicado 5 vulnerabilidades críticas que afectan a distintas versiones de sus productos DXP y Portal.

Solución
  • Liferay DXP 7.3, actualización 24;
  • Liferay DXP 7.4, actualización 90;
  • Liferay Portal 7.4.3.90.
Detalle

Las vulnerabilidades identificadas son de tipo:

  • Cross-Site Scripting (XSS) reflejado o indirecto (CVE-2023-42497 y CVE-2023-44311);
  • Cross-Site Scripting (XSS) persistente o directo (CVE-2023-42629, CVE-2023-44309 y CVE-2023-44310).
Listado de referencias
CVE-2023-42497 XSS with `redirect` in export translation
CVE-2023-42629 Stored XSS vulnerability with vocabulary description
CVE-2023-44309 XSS with fragment components
CVE-2023-44310 XSS with page name in Page Tree
CVE-2023-44311 Reflected XSS with 'code' and 'error' in OAuth2ProviderApplicationRedirect
Etiquetas