Múltiples vulnerabilidades en CMS Liferay

05 Agosto 2021
Alto

Liferay ha informado sobre nuevas vulnerabilidades de seguridad que afectarían a Liferay Portal. De las fallas informadas 15 han sido identificadas con un CVE clasificadas con severidad 2.  

Liferay clasifica las vulnerabilidades de seguridad en diferentes niveles de gravedad en función de una serie de factores, el más importante de los cuales es el riesgo percibido para las implementaciones de Liferay.

  • Nivel de severidad 1 (SEV-1): Este es el nivel más grave que incluye situaciones en las que es posible el acceso completo al sistema incluido el acceso a los recursos del sistema subyacente, la posibilidad de corrupción o compromiso de datos, o la capacidad de ejecutar código arbitrario por parte de un atacante.
  • Nivel de severidad 2 (SEV-2): Las fallas en este nivel no permiten el acceso completo al sistema, pero pueden afectar los niveles de servicio y la confiabilidad del sistema, o afectar a otros sistemas que no sean Liferay. Esto generalmente incluye vulnerabilidades de denegación de servicio y scripts entre sitios y vulnerabilidades relacionadas.

Vulnerabilidades [SEV-2]:

CVE-2021-33321 La configuración predeterminada insegura permite la enumeración de usuarios usando la contraseña olvidada

Productos afectados:

  • Liferay Portal 7.3.2 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA4 (7.3.3) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1)
  • Liferay Portal 6.2, 7.0 y 7.1: no hay ningún parche disponible. Usuarios deben actualizar a Liferay Portal 7.2.1 y aplicar el último parche para Liferay Portal 7.2

CVE-2021-33325 Contraseñas no cifradas del usuario almacenadas en la base de datos

Productos afectados:

  • Liferay Portal 7.3.2 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA4 (7.3.3) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1)
  • Liferay Portal 6.2, 7.0 y 7.1: no hay ningún parche disponible. Usuarios deben actualizar a Liferay Portal 7.2.1 y aplicar el último parche para Liferay Portal 7.2

CVE-2021-33327 Los usuarios no autorizados pueden ver los roles de invitado y usuario

Productos afectados:

  • Liferay Portal 7.3.3 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA5 (7.3.4) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1).

CVE-2021-33339 XSS almacenado con el nombre del sitio en el portlet Fragmento

Productos afectados:

  • Liferay Portal 7.3.4 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA6 (7.3.5) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1).

CVE-2021-33338 Agregar páginas expone el token CSRF

Productos afectados:

  • Liferay Portal 7.3.2 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA4 (7.3.3) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1)
  • Liferay Portal 6.2, 7.0 y 7.1: no hay ningún parche disponible. Usuarios deben actualizar a Liferay Portal 7.2.1 y aplicar el último parche para Liferay Portal 7.2

CVE-2021-33337 XSS almacenado con tipos de documentos en documentos y soportes

Productos afectados:

  • Liferay Portal 7.3.4 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA6 (7.3.5) o posterior.

CVE-2021-33336 XSS almacenado con nombre de estructura

Productos afectados:

  • Liferay Portal 7.3.3 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA5 (7.3.4) o posterior.

CVE-2021-33335 Los administradores ajenos a la empresa pueden editar los administradores de la empresa

Productos afectados:

  • Liferay Portal 7.3.4 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA6 (7.3.5) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1)
  • Liferay Portal 7.1.3 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.2.1

CVE-2021-33334 Los usuarios no autorizados pueden ver formularios y entradas de formularios

Productos afectados:

  • Liferay Portal 7.3.2 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA4 (7.3.3) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1)
  • Liferay Portal 7.1.3 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.2.1

CVE-2021-33333 Los usuarios no autorizados pueden ver y eliminar envíos de flujo de trabajo

Productos afectados:

  • Liferay Portal 7.3.2 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA4 (7.3.3) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1)
  • Liferay Portal 7.1.3 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.2.1

CVE-2021-33332 XSS reflejado con portletId en la configuración Look and Feel

Productos afectados:

  • Liferay Portal 7.3.2 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA4 (7.3.3) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1)
  • Liferay Portal 7.1.3 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.2.1

CVE-2021-33330 CORS no debería funcionar con la autenticación de sesión de portal

Productos afectados:

  • Liferay Portal 7.3.2 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA4 (7.3.3) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1)

CVE-2021-33328 XSS almacenado con nombres de estructura de contenido web y nombres de tipos de documentos en Categorías Admin

Productos afectados:

  • Liferay Portal 7.3.4 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA6 (7.3.5) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1)
  • Liferay Portal 7.1.3 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.2.1

CVE-2021-33326 XSS con el título de una ventana modal

Productos afectados:

  • Liferay Portal 7.3.4 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA6 (7.3.5) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1)
  • Liferay Portal 7.1.3 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.2.1

CVE-2021-33323 Los borradores de formularios no autenticados son visibles para todos

Productos afectados:

  • Liferay Portal 7.3.2 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.3 CE GA4 (7.3.3) o posterior.
  • Liferay Portal 7.2: Actualizar a 7.2 GA2 (7.2.1)
  • Liferay Portal 7.1.3 y versiones anteriores. Los usuarios deben actualizar a Liferay Portal 7.2.1

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Seguir las notas publicadas por el proveedor para actualizar según la versión.

El listado de las CVE se adjunta a continuación:


Tags: #Liferay #Parche #CMS #Vulnerabilidad
  • Productos Afectados
  • Producto Versión
    Liferay Portal 6.2
    7.0
    7.1.3 y versiones anteriores
    7.2
    7.3.4 y versiones anteriores


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.