Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad XSS en productos Liferay

Fecha de publicación 08/02/2024
Identificador
INCIBE-2024-0071
Importancia
5 - Crítica
Recursos Afectados
  • Liferay Portal, versiones desde 7.4.0 hasta 7.4.3.11;
  • Liferay Portal, versiones desde 7.3.0 hasta 7.3.7;
  • Liferay Portal, versiones 7.2.0 y 7.2.1;
  • Liferay Portal, versiones antiguas sin soporte;
  • Liferay DXP, versiones 7.4 anteriores a la actualización 8;
  • Liferay DXP, versiones 7.3 anteriores a la actualización 4;
  • Liferay DXP, versiones 7.2 anteriores al fix pack 17;
  • Liferay DXP, versiones antiguas sin soporte.
Descripción

Liferay ha publicado un aviso para informar de una vulnerabilidad crítica de tipo Cross-Site Scripting (XSS) que afecta a varios productos.

Solución

Actualizar los productos afectados a las siguientes versiones:

  • Liferay Portal 7.4.3.12;
  • Liferay DXP 7.4 actualización 8;
  • Liferay DXP 7.3 actualización 4;
  • Liferay DXP 7.2 fix pack 17.
Detalle

Una vulnerabilidad XSS almacenada en la aplicación Search Result del módulo Portal Search en Liferay Portal y Liferay DXP, podría permitir a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios en el resultado de búsqueda de la aplicación Search Result, si el resaltado está desactivado al añadir cualquier contenido que permita búsquedas a la aplicación. Se ha asignado el identificador CVE-2024-25145 para esta vulnerabilidad.

Listado de referencias
CVE-2024-25145 Stored XSS with search results if highlighting is disabled
Etiquetas