Multiples vulnérabilités dans Liferay Portal

Gestion du document

Référence	CERTFR-2022-AVI-397
Titre	Multiples vulnérabilités dans Liferay Portal
Date de la première version	28 avril 2022
Date de la dernière version	28 avril 2022
Source(s)	Bulletin de sécurité Liferay du 24 janvier 2022 Bulletin de sécurité Liferay du 24 janvier 2022
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Contournement de la politique de sécurité
Injection de code indirecte à distance (XSS)

Systèmes affectés

Liferay Portal versions 7.4.x antérieures à 7.4.2 GA3
Liferay Portal version 7.3.7 GA8 sans le dernier correctif de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans Liferay Portal. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité et une injection de code indirecte à distance (XSS).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Liferay du 24 janvier 2022
https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/cve-2022-26593-stored-xss-with-category-name-in-asset-categories-selector
Bulletin de sécurité Liferay du 24 janvier 2022
https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/cve-2022-26595-unauthorized-access-to-site-group-list
Référence CVE CVE-2022-26593
https://www.cve.org/CVERecord?id=CVE-2022-26593
Référence CVE CVE-2022-26595
https://www.cve.org/CVERecord?id=CVE-2022-26595

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Liferay Portal