Múltiples vulnerabilidades en Liferay Portal

Fecha de publicación 01/09/2020
Importancia
5 - Crítica
Recursos Afectados

Liferay Portal, versiones anteriores a 7.3.3.

Descripción

Liferay Portal ha informado de 3 vulnerabilidades, todas de severidad alta o crítica, de tipo omisión de comprobación de URL y denegación de servicio (DoS).

Solución

Actualizar a las siguientes versiones:

Detalle
  • Liferay Portal no decodifica una URL antes de determinar si se debe servir el recurso, lo que podría permitir a un atacante remoto acceder a los recursos de portlet restringidos a través de URL con doble codificación. Se ha reservado el identificador CVE-2020-15840 para esta vulnerabilidad.
  • Liferay Portal no restringe el tamaño del valor multipart/form-data del atributo enctype en una petición POST, lo que podría permitir a un usuario autenticado de forma remota realizar ataques de denegación de servicio mediante la carga de archivos grandes. Se ha reservado el identificador CVE-2020-15839 para esta vulnerabilidad.
  • El módulo de redireccionamiento en Liferay Portal no limita la cantidad de URL generadas al registrarse un código de error 404, lo que podría permitir a un atacante remoto realizar un ataque de denegación de servicio al enviar solicitudes repetidas de páginas que no existen. Se ha reservado el identificador CVE-2020-24554 para esta vulnerabilidad.

Además de estas vulnerabilidades, Liferay ha informado de otras de menor criticidad. Para más información consulte la página de reporte de vulnerabilidades del fabricante.

Encuesta valoración