Vulnerabilidades afectan a CMS Liferay

10 Junio 2020
Crítico

Liferay una de las plataformas de gestión de contenido más completas del mercado, nombrada líder en el Cuadrante Mágico de Gartner para Digital Experience Platforms 2020, ha informado sobre 18 vulnerabilidades de seguridad que afectarían a sus productos, de las cuales solo dos han sido identificadas con un CVE. Hasta el momento, el proveedor ha clasificado 4 de ellas como severidad-1 y las otras 14 como severidad-2.

Liferay clasifica las vulnerabilidades de seguridad en diferentes niveles de gravedad en función de una serie de factores, el más importante de los cuales es el riesgo percibido para las implementaciones de Liferay.

  • Nivel de severidad 1 (SEV-1): el nivel más grave, que incluye situaciones en las que es posible el acceso completo al sistema, incluido el acceso a los recursos del sistema subyacente, la posibilidad de corrupción o compromiso de datos, o la capacidad de ejecutar código arbitrario por parte de un atacante.
     
  • Nivel de severidad 2 (SEV-2): los problemas en este nivel no permiten el acceso completo al sistema, pero pueden afectar los niveles de servicio y la confiabilidad del sistema, o afectar a otros sistemas que no sean Liferay. Esto generalmente incluye vulnerabilidades de denegación de servicio y scripts entre sitios y vulnerabilidades relacionadas.

Los tipos de vulnerabilidad son: deserialización en Java, exposición de credenciales LDAP, pérdida de contraseña del proveedor de datos REST, ejecución remota de código, CSRF, SSRF, XSS, MitM, elusión de restricción de extensión de archivos, acceso a directorios no controlado, inyección de correo, falta de comprobación de permisos de usuarios e instancia no configurada de un widget instanciable. A continuación listamos las vulnerabilidades más relevantes:

CVE-2020-13444 (CST-7301) [SEV-1] La API DDMDataProvider pierde la contraseña del proveedor de datos REST

Liferay Portal 7.x hasta la 7.3.2 y Liferay DXP 7.0 antes del fixpack 92, 7.1 antes del fixpack 19 y 7.2 antes del fixpack 7, no se sanitiza la información devuelta por la API  DDMDataProvider, la cual permite a los usuario autenticados de forma remota obtener la contraseña para hacer reset del proveedor de datos.

CVE-2020-13445 (CST-7302) [SEV-1] Ejecución remota de código con plantillas FreeMarker / Velocity

En Liferay Portal anterior a 7.3.2, la API de plantilla no restringe el acceso de los usuarios a objetos confidenciales, lo que permite a los usuarios autenticados remotos ejecutar código arbitrario a través de plantillas FreeMarker y Velocity creadas.

CST-7213 [SEV-1] Vulnerabilidad de deserialización de Java en configuración en clúster

Afecta a Liferay Portal 7.2.1 y versiones anteriores, existiendo una vulnerabilidad de deserialización de Java cuando el portal configurado en clúster. La comunicación entre los nodos puede ser interceptada y modificada. Esto puede provocar fugas de información y ejecución de código remoto.

CST-7214 [SEV-1] Credenciales LDAP expuestas por 'Test de conexión LDAP'

Afecta a Liferay Portal 7.2.1 y versiones anteriores, la función 'Test LDAP configuration' puede explotarse para obtener la contraseña LDAP.

 

Otras vulnerabilidades [SEV-2]:

CST-7303 Circunvención de prevención de redireccionamiento abierto mediante pestañas

En Liferay Portal anterior a 7.3.1, la API PortalUtil.escapeRedirect () se puede eludir utilizando el carácter de tabulación. Esto puede permitir que un atacante redirija a un usuario a un sitio externo (es decir, una vulnerabilidad de redireccionamiento abierto).

CST-7304 XSS almacenado con nombre de usuario en asignaciones de flujo de trabajo

La vulnerabilidad de secuencias de comandos entre sitios (XSS) en el módulo de flujo de trabajo del portal en Liferay Portal 7.3.0 permite a los atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro de nombre de usuario.

CST-7305 Librerías con vulnerabilidades conocidas en 7.3.0 y 7.3.1

Liferay Portal 7.3.0 y 7.3.1 incluyen las siguientes librerías que tienen las siguientes vulnerabilidades conocidas:

  • Apache POI 4.1.0 (CVE-2019-12415)

CST-7306 Los usuarios no autorizados pueden ver los grupos de usuarios de un sitio

Liferay Portal 7.3.0 no verifica adecuadamente los permisos de los usuarios, lo que permite a los usuarios autenticados remotos ver grupos de usuarios que son miembros de un sitio a través de la administración de membresía del sitio.

CST-7150 JAX-RS APIs vulnerables a CSRF
CST-7215 Vulnerabilidad SSRF vía DDM REST Data Provider
CST-7216 Múltiples vulnerabilidades XSS en versiones 7.1.3 y 7.2.1
CST-7217 MySQL Connector/J vulnerable a ataques MitM
CST-7218 Librerías con vulnerabilidades in 7.1.3 y 7.2.1
CST-7219 Falla en la restricción de extensiones de archivos que se pueden subir a la plataforma
CST-7220 Posible sobreescritura de ficheros del sistema de archivos
CST-7221 Vulnerabilidad de inyección contenido en correo electrónico de administrador
CST-7222 Cualquier usuario puede mostrar una instancia no configurada de un widget instanciable
CST-7223 Divulgación privada del sitio a través de Blogs RSS

Se recomienda lo siguiente:

  • Se recomienda instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
    • Seguir las notas publicadas por el proveedor para actualizar según la versión.

El listado de las CVE se adjunta a continuación:


Tags: #Liferay #parche #CMS #vulnerabilidad #api #portal
  • Productos Afectados
  • Producto Versión
    Liferay portal 7.2.1 y anteriores
    anteriores a 7.3.2
    7.1.3 y anteriores


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.