• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Cross-Site Scripting (XSS) persistente en Liferay

13/05/2019

=============================================
CVE-
Fecha de lanzamiento: 13/05/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

Se ha publicado una vulnerabilidad Cross-Site Scripting (XSS) persistente en algunas versiones Liferay Faces Alloy.

INFORMACIÓN

Liferay es un portal de gestión de contenidos de código abierto escrito en Java. Se creó en 2000, en principio como solución para las organizaciones sin ánimo de lucro. Asimismo, Liferay Inc. es la empresa de código abierto, que proporciona la documentación gratuita y el servicio profesional de pago a los usuarios de su software. Principalmente enfocada en la tecnología de portales corporativos y empresariales, tiene su sede en Diamond Bar, California, EE.UU.

DESCRIPCIÓN

Existe una vulnerabilidad Cross-Site Scripting (XSS) persistente en alloy:autoComplete y alloy:inputFile debido a una representación incorrecta de las cadenas JavaScript en los arrays de las versiones de Liferay Faces Alloy afectadas.

SISTEMAS AFECTADOS

com.liferay.faces.alloy-2.0.0 (Liferay Portal 6.2)
com.liferay.faces.alloy-2.0.1 (Liferay Portal 6.2)
com.liferay.faces.alloy-3.0.0 (Liferay Portal 7.0+)
com.liferay.faces.alloy-3.0.1 (Liferay Portal 7.0+)
liferay-faces-alloy-3.2.5-ga6 (Liferay Portal 6.2)
liferay-faces-alloy-4.2.5-ga6 (Liferay Portal 6.2)

SOLUCIÓN

Aplicar el parche adecuado en función de la versión afectada: https://repo1.maven.org/maven2/com/liferay/faces/com.liferay.faces.alloy/2.0.2/

FUENTE

https://www.incibe-cert.es/