Múltiples vulnerabilitats en Liferay

Liferay ha publicat cinc vulnerabilitats crítiques que afecten diferents versions dels seus productes DXP i Portal.

Anàlisi

 Les vulnerabilitats identificades són de tipus:

• • Cross-Site Scripting (XSS) reflectit o indirecte (CVE-2023-42497 i CVE-2023-44311)
  • Cross-Site Scripting (XSS) persistent o directe (CVE-2023-42629, CVE-2023-44309 i CVE-2023-44310)

Recursos afectats

• • Liferay DXP 7.3 fix pack 1, fins a l’actualització 23;
  • Liferay DXP 7.4, abans de l’actualització 89;
  •  Liferay Portal, des de 7.3.6 fins a 7.4.3.89.

Recomanacions

Aplicar les actualitzacions següents:

• • Liferay DXP 7.3, actualització 24;
  • Liferay DXP 7.4, actualització 90;
  • Liferay Portal 7.4.3.90.

Referències

• • • CVE-2023-42497 XSS with `redirect` in export translation

    • CVE-2023-42629 Stored XSS vulnerability with vocabulary description

    • CVE-2023-44309 XSS with fragment components

    • CVE-2023-44310 XSS with page name in Page Tree

    • CVE-2023-44311 Reflected XSS with ‘code’ and ‘error’ in OAuth2ProviderApplicationRedirect