Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Múltiples vulnerabilidades en productos de Liferay

Fecha23/10/2024
Importancia5 - Crítica
Recursos Afectados

Los siguientes productos de Liferay:

  • Liferay Portal:
    • 7.4.0 hasta la 7.4.3.101;
    • versiones 7.4.0 hasta la 7.4.3.111;
    • versiones 7.3.2 hasta la 7.3.7;
    • versiones 7.3.0 hasta la 7.3.7;
    • versiones 7.2.0 hasta la 7.2.1;
    • versiones 7.1.0 hasta la 7.1.3;
    • versiones 7.0.0 hasta la 7.0.6.
  • Liferay DXP:
    • versiones 2023.Q3.1 hasta la 2023.Q3.4;
    • versiones 2023.Q4.0 hasta la 2023.Q4.5;
    • versiones 2023.Q3.1 hasta la 2023.Q3.8;
    • versiones 7.4;
    • versiones 7.3 GA hasta la actualización 35;
    • versiones 7.2;
    • versiones 7.1;
    • versiones 7.0;
    • versiones 7.3;
    • versiones 6.2.
Descripción

foobar7, ha reportado una vulnerabilidad de severidad crítica que se une a otra publicada por Liferay y que podrían permitir a un atacante ejecutar código de forma remota o alterar las definiciones de flujos de trabajo.

Solución
  • Actualizar Liferay Portal a la versiones 7.4.3.102 o 7.4.3.112;
  • Actualizar Liferay DXP a la versión 2024.Q1.1;
  • Actualizar Liferay DXP a la versión 2023.Q4.6;
  • Actualizar Liferay DXP a la versión 2023.Q4.0;
  • Actualizar Liferay DXP a la versión 2023.Q3.9;
  • Actualizar Liferay DXP a la versión 2023.Q3.5;
  • Actualizar Liferay DXP a la versión 7.3 actualización 36.
Detalle
  • La Consola de Script en Liferay Portal y Liferay DXP no ofrece suficiente protección contra ataques de Falsificación de Petición de Sitio Cruzado (CSRF), lo que permitiría a un atacante remoto ejecutar scripts de Groovy arbitrarios a través de una URL personalizada o una vulnerabilidad XSS.
  • El componente de flujo de trabajo en Liferay Portal y Liferay DXP no comprueba adecuadamente los permisos de usuario antes de actualizar una definición de flujo de trabajo, lo que permitiria a usuarios remotos autenticados modificar definiciones de flujo de trabajo y ejecutar código en remoto a través de la API headless.

Se han asignado los identificadores CVE-2024-8980 y CVE-2024-38002 respectivamente para estas vulnerabilidades.

Múltiples vulnerabilidades XSS en LocalServer

Fecha23/10/2024
Importancia3 - Media
Recursos Afectados

LocalServer, versión 1.0.9.

Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades de severidad media que afectan a LocalServer (desarrollado por Ujang Rohidin) en su versión 1.0.9, un software para Windows que permite convertir un PC en un servidor web local en el que se encuentran los servidores Apache, PHP y MySQL, las cuales han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • desde CVE-2024-10286 hasta CVE-2024-10289: 6.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79.
Solución

No hay solución reportada por el momento.

Detalle

Vulnerabilidades de Cross-Site Scripting (XSS) que afectan a LocalServer 1.0.9 y cuya explotación podrían permitir a un usuario remoto enviar una consulta especialmente diseñada a un usuario autenticado y robar los detalles de su sesión. La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2024-10286: parámetro to en /testmail/index.php.
  • CVE-2024-10287: parámetro ListName en /mlss/ForgotPassword.
  • CVE-2024-10288: parámetro ListName en /mlss/SubscribeToList.
  • CVE-2024-10289: parámetro MSubListName en /mlss/ManageSubscription.