Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad DoS en Liferay

Fecha de publicación 16/05/2019
Importancia
4 - Alta
Recursos Afectados
  • Liferay Faces Alloy, entorno Servlet (non-Portlet) 3.0+.
Descripción

Liferay Faces Alloy permite a los atacantes subir archivos muy grandes que pueden utilizarse en un ataque de denegación de servicio en un entorno Servlet (no Portlet).

Solución
  • Aplicar el parche adecuado en función de la versión afectada, 2.0.2 o 3.0.2.
Detalle
  • Esta vulnerabilidad no afecta a los portlets (componentes modulares de las interfaces de usuario gestionadas y visualizadas en un portal web) que utilizan Liferay Faces Alloy. Sin embargo, una vulnerabilidad, recientemente descubierta y corregida (DoS via large file upload), hace que la validación com.liferay.faces.util.uploadedFileMaxSize también se ignore en un entorno portlet.

Encuesta valoración

Listado de referencias
Liferay Faces Alloy DoS via large file upload in Servlet 3.0+ environment (non-Portlet vulnerability)
Etiquetas