Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Liferay

Fecha de publicación 23/10/2024
Identificador
INCIBE-2024-0527
Importancia
5 - Crítica
Recursos Afectados

Los siguientes productos de Liferay:

  • Liferay Portal:
    • 7.4.0 hasta la 7.4.3.101;
    • versiones 7.4.0 hasta la 7.4.3.111;
    • versiones 7.3.2 hasta la 7.3.7;
    • versiones 7.3.0 hasta la 7.3.7;
    • versiones 7.2.0 hasta la 7.2.1;
    • versiones 7.1.0 hasta la 7.1.3;
    • versiones 7.0.0 hasta la 7.0.6.
  • Liferay DXP:
    • versiones 2023.Q3.1 hasta la 2023.Q3.4;
    • versiones 2023.Q4.0 hasta la 2023.Q4.5;
    • versiones 2023.Q3.1 hasta la 2023.Q3.8;
    • versiones 7.4;
    • versiones 7.3 GA hasta la actualización 35;
    • versiones 7.2;
    • versiones 7.1;
    • versiones 7.0;
    • versiones 7.3;
    • versiones 6.2.
Descripción

foobar7, ha reportado una vulnerabilidad de severidad crítica que se une a otra publicada por Liferay y que podrían permitir a un atacante ejecutar código de forma remota o alterar las definiciones de flujos de trabajo.

Solución
  • Actualizar Liferay Portal a la versiones 7.4.3.102 o 7.4.3.112;
  • Actualizar Liferay DXP a la versión 2024.Q1.1;
  • Actualizar Liferay DXP a la versión 2023.Q4.6;
  • Actualizar Liferay DXP a la versión 2023.Q4.0;
  • Actualizar Liferay DXP a la versión 2023.Q3.9;
  • Actualizar Liferay DXP a la versión 2023.Q3.5;
  • Actualizar Liferay DXP a la versión 7.3 actualización 36.
Detalle
  • La Consola de Script en Liferay Portal y Liferay DXP no ofrece suficiente protección contra ataques de Falsificación de Petición de Sitio Cruzado (CSRF), lo que permitiría a un atacante remoto ejecutar scripts de Groovy arbitrarios a través de una URL personalizada o una vulnerabilidad XSS.
  • El componente de flujo de trabajo en Liferay Portal y Liferay DXP no comprueba adecuadamente los permisos de usuario antes de actualizar una definición de flujo de trabajo, lo que permitiria a usuarios remotos autenticados modificar definiciones de flujo de trabajo y ejecutar código en remoto a través de la API headless.

Se han asignado los identificadores CVE-2024-8980 y CVE-2024-38002 respectivamente para estas vulnerabilidades.

Listado de referencias
CVE-2024-8980 Mitigate against simple XSS attacks against script console
CVE-2024-38002 Regular users can edit workflow definition
Etiquetas