Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad DoS en Liferay

Fecha de publicación 29/04/2019
Importancia
4 - Alta
Recursos Afectados
  • com.liferay.faces.bridge.impl-4.1.2
  • com.liferay.faces.bridge.impl-3.1.0
  • liferay-faces-bridge-impl-4.2.5-ga6
  • liferay-faces-bridge-impl-3.2.5-ga6
  • liferay-faces-bridge-impl-3.1.5-ga6
  • liferay-faces-bridge-impl-3.0.5-ga6
  • liferay-faces-bridge-impl-3.0.5-legacy-ga6
  • com.liferay.faces.bridge.impl-4.1.2
  • com.liferay.faces.bridge.impl-3.1.0
  • liferay-faces-bridge-impl-4.2.5-ga6
  • liferay-faces-bridge-impl-3.2.5-ga6
  • liferay-faces-bridge-impl-3.1.5-ga6
  • liferay-faces-bridge-impl-3.0.5-ga6
  • liferay-faces-bridge-impl-3.0.5-legacy-ga6
  • com.liferay.faces.bridge.impl-4.1.2
  • com.liferay.faces.bridge.impl-3.1.0
  • liferay-faces-bridge-impl-4.2.5-ga6
  • liferay-faces-bridge-impl-3.2.5-ga6

Compatibles con algunas de estas versiones:

  • Liferay Portal 5.2
  • Liferay Portal 6.0
  • Liferay Portal 6.1
  • Liferay Portal 6.2
  • Liferay Portal 7.0
  • Liferay Portal 7.1
  • Pluto Portal 2.0

Para más detalles, consulte las referencias.

Descripción

Múltiples vulnerabilidades en Liferay Portal CE pueden provocar la denegación del servicio a través de la carga de archivos grandes.

Solución
  • Aplicar el parche adecuado en función de la versión afectada.
Detalle
  • Cuando se utiliza en conjunto con Liferay Faces Bridge, la validación de carga de archivos puede omitirse, lo que permite cargar archivos muy grandes que se pueden utilizar en un ataque de denegación de servicio (DoS). Los archivos que se omiten durante la validación son:
    • PrimeFaces 6.2+ p:fileUpload.
    • RichFaces rich:fileUpload.
    • com.liferay.faces.bridge.uploadedFileMaxSize on IceFaces ace:fileEntry.
    • com.liferay.faces.util.uploadedFileMaxSize con alloy:inputFile en Portlets.
    • IceFaces 1.8 ice:inputFile.

Encuesta valoración

Listado de referencias