Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en productos de Liferay

In Noticias y Avisos CiberseguridadPosted
MĂșltiples vulnerabilidades en productos de Liferay

Aviso
Recursos Afectados
  • Liferay Portal:
    • 7.2.0 y 7.2.1;
    • 7.3.0 a 7.3.7;
    • 7.4.0 a 7.4.3.4;
    • 7.4.0 a 7.4.2;
    • 7.4.0 a 7.4.3.12;
    • 7.4.0 a 7.4.3.38;
    • 7.4.0 a 7.4.3.44;
    • 7.4.0 a 7.4.3.97;
    • Versiones anteriores no compatibles.
  • Liferay DXP:
    • 7.2 antes del fixpack 15, 17 y 19;
    • 7.3 antes de la actualizaciĂłn 4, 11 y 34;
    • 7.3 antes del service pack 3;
    • 7.4 antes de la actualizaciĂłn 9, 38, 44, 92, 97;
    • 7.4 (todas las versiones para CVE-2023-42496);
    • 2023.Q3 antes del parche 5 y 6;
    • 2024.Q1 antes del parche 26266, 26269, 25147, 25152, 25601, 25602, 25603 y 25610;
    • Versiones anteriores no compatibles.
DescripciĂłn

Liferay ha publicado varias vulnerabilidades de diferentes severidades, de las cuales 11 son crĂ­ticas y podrĂ­an permitir a un atacante inyectar secuencias de comandos de forma remota (XSS).

5 – CrĂ­tica
SoluciĂłn

Actualiza a las versiones fijas en funciĂłn de los recursos afectados:

  • Portal Liferay:
    • 7.4.2
    • 7.4.3.4
    • 7.4.3.5
    • 7.4.3.13
    • 7.4.3.14
    • 7.4.3.38
    • 7.4.3.98
  • Liferay DXP:
    • 7.2 15
    • 7.2 17
    • 7.2 20
    • 7.3 paquete de servicio 3
    • 7.3 actualizaciĂłn 4, 11 o 34
    • 7.4 actualizaciĂłn 1, 9, 10, 38 o 92
    • 2023.Q3.5
    • 2023.Q3.6

Revisa el listado de ‘Referencias’ para identificar la versiĂłn de actualizaciĂłn correspondiente a la versiĂłn afectada. 

Detalle

Las 11 vulnerabilidades mencionadas en este aviso son de tipo Cross-site scripting (XSS) de almacenamiento y reflejadas. Un atacante remoto autenticado podría inyectar secuencias de comandos web o HTML de su elección a través de un payload diseñado en diferentes campos o paråmetros.
Se han asignado los identificadores CVE-2023-40191, CVE-2024-26266, CVE-2024-26269, CVE-2023-42496, CVE-2024-25603, CVE-2024-25152, CVE-2024-25601, CVE-2024-25602, CVE-2024-25147, CVE-2024-25610 y CVE-2023-42498 para estas vulnerabilidades.

Listado de referencias
CVE-2023-40191 XSS with with Account “Blocked Email Domains”
CVE-2024-26266 Stored XSS with user name in Announcements & Alerts
CVE-2024-26269 XSS with anchor/hash part of a URL in portlet.js
CVE-2023-42496 XSS with `tabs2` in role assignment
CVE-2024-25603 Stored XSS with instanceId in DDMForm
CVE-2024-25152 Stored XSS with message board file attachment
CVE-2024-25601 Stored XSS with geolocation custom fields
CVE-2024-25602 Stored XSS with organization name in edit user
CVE-2024-25147 HtmlUtil.escapeJSLink circumvention
CVE-2024-25610 Stored XSS with Blog entries (Insecure defaults)
CVE-2023-42498 XSS with `key` in language override

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para mĂĄs informaciĂłn o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catĂĄlogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestiĂłn que pueda tener.