Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad DoS en Liferay

Fecha de publicación: 29/04/2019

Importancia: Alta

Recursos afectados:

  • com.liferay.faces.bridge.impl-4.1.2
  • com.liferay.faces.bridge.impl-3.1.0
  • liferay-faces-bridge-impl-4.2.5-ga6
  • liferay-faces-bridge-impl-3.2.5-ga6
  • liferay-faces-bridge-impl-3.1.5-ga6
  • liferay-faces-bridge-impl-3.0.5-ga6
  • liferay-faces-bridge-impl-3.0.5-legacy-ga6
  • com.liferay.faces.bridge.impl-4.1.2
  • com.liferay.faces.bridge.impl-3.1.0
  • liferay-faces-bridge-impl-4.2.5-ga6
  • liferay-faces-bridge-impl-3.2.5-ga6
  • liferay-faces-bridge-impl-3.1.5-ga6
  • liferay-faces-bridge-impl-3.0.5-ga6
  • liferay-faces-bridge-impl-3.0.5-legacy-ga6
  • com.liferay.faces.bridge.impl-4.1.2
  • com.liferay.faces.bridge.impl-3.1.0
  • liferay-faces-bridge-impl-4.2.5-ga6
  • liferay-faces-bridge-impl-3.2.5-ga6

Compatibles con algunas de estas versiones:

  • Liferay Portal 5.2
  • Liferay Portal 6.0
  • Liferay Portal 6.1
  • Liferay Portal 6.2
  • Liferay Portal 7.0
  • Liferay Portal 7.1
  • Pluto Portal 2.0

Para más detalles, consulte las referencias.

Descripción:

Múltiples vulnerabilidades en Liferay Portal CE pueden provocar la denegación del servicio a través de la carga de archivos grandes.

Solución:

  • Aplicar el parche adecuado en función de la versión afectada.

Detalle:

  • Cuando se utiliza en conjunto con Liferay Faces Bridge, la validación de carga de archivos puede omitirse, lo que permite cargar archivos muy grandes que se pueden utilizar en un ataque de denegación de servicio (DoS). Los archivos que se omiten durante la validación son:
    • PrimeFaces 6.2 p:fileUpload.
    • RichFaces rich:fileUpload.
    • com.liferay.faces.bridge.uploadedFileMaxSize on IceFaces ace:fileEntry.
    • com.liferay.faces.util.uploadedFileMaxSize con alloy:inputFile en Portlets.
    • IceFaces 1.8 ice:inputFile.

Etiquetas: Vulnerabilidad