• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Vulnerabilidad en la funcionalidad pingback de los blogs de Liferay

14/05/2019

=============================================
CVE-
Fecha de lanzamiento: 14/05/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

El investigador Christian Mehlmauer ha reportado una vulnerabilidad que afecta a la funcionalidad pingback en los blogs que podría utilizarse para realizar ataques de escaneo de puertos.

INFORMACIÓN

Liferay es un portal de gestión de contenidos de código abierto escrito en Java. Se creó en 2000, en principio como solución para las organizaciones sin ánimo de lucro. Asimismo, Liferay Inc. es la empresa de código abierto, que proporciona la documentación gratuita y el servicio profesional de pago a los usuarios de su software. Principalmente enfocada en la tecnología de portales corporativos y empresariales, tiene su sede en Diamond Bar, California, EE.UU.

DESCRIPCIÓN

Esta vulnerabilidad permite a atacantes remotos enviar solicitudes HTTP a servidores de Internet y realizar ataques de escaneo de puertos, especificando una URL de origen falsa.

SISTEMAS AFECTADOS

Liferay Portal 7.0 CE GA7 (7.0.6) y versiones anteriores sin soporte.

SOLUCIÓN

No existe parche para esta vulnerabilidad. Como medida de mitigación, se aconseja desactivar la funcionalidad pingback. Se recomienda actualizar el portal a Liferay Portal 7.1 CE GA1 (7.1.0) o posterior: https://sourceforge.net/projects/lportal/files/Liferay%20Portal/7.1.0%20GA1/

FUENTE

https://www.incibe-cert.es/