Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Liferay produktuetan

Argitalpen data: 2019/06/26

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

  • Liferay Portal 7.1 CE GA3 eta zerbitzurik gabeko aurreko bertsioak.

Azalpena: 

Liferay-k hainbat ahultasunen berri eman du, bat larritasun kritikokoa eta bost larritasun altukoak. Horiek baliatuz informazio sentikorrera sarbidea lor liteke, kodea injektatu edo eskuratu behar ez diren pribilegioak eskuratu.

Konponbidea: 

Xehetasuna: 

Larritasun kritikoko ahultasuna honakoa da:

  • Kaltetutako produktua ahula da Server Side Request Forgery-ren (SSRF) aurrean, DDM REST datu hornitzailearen bidez. Hori baliatuz erasotzaile batek informazio konfidentzialera sarbidea lor lezake.

Gainerako ahultasunak, larritasun altukoak, honakoak dira:

  • Pasahitzen hash-ak eta pasahitzaren oroitarazpenaren erantzunak erregistroetan ager daitezke datu basean akats bat gertatzen bada.
  • Hainbat XSS ahultasun baliatuz, urruneko erasotzaile batek web script-ak edo HTML arbitrarioak injekta litzake orrialde batean.
  • Direktorio jauzi erako ahultasuna inkesten atalean.
  • Baimen batzuk aurrez hautatuta egon daitezke. Ondorioz erabiltzaile batzuk behar ez diren baimenak jaso ditzakete nahi gabe.
  • Baimen aniztunak jaulkitzeak eragin lezake erabiltzaileek baimenik gabeko ekintzak egin ahal izatea.

Etiketak: Eguneraketa, Ahultasuna