Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Liferay Portal y DXP (CVE-2024-26272)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
22/10/2024
Última modificación:
10/12/2024

Descripción

La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el editor de páginas de contenido en Liferay Portal 7.3.2 a 7.4.3.107, y Liferay DXP 2023.Q4.0 a 2023.Q4.2, 2023.Q3.1 a 2023.Q3.5, 7.4 GA a la actualización 92 y 7.3 GA a la actualización 35 permite a atacantes remotos (1) cambiar las contraseñas de los usuarios, (2) apagar el servidor, (3) ejecutar código arbitrario en la consola de scripts, (4) y realizar otras acciones administrativas a través del parámetro p_l_back_url.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:* 2023.q3.1 (incluyendo) 2023.q3.6 (excluyendo)
cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:* 2023.q4.0 (incluyendo) 2023.q4.3 (excluyendo)
cpe:2.3:a:liferay:digital_experience_platform:7.3:-:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.3:fix_pack_1:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.3:fix_pack_2:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.3:service_pack_1:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.3:service_pack_3:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.3:update10:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.3:update11:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.3:update12:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.3:update13:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.3:update14:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.3:update15:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.3:update16:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.3:update17:*:*:*:*:*:*