Plataforma
java
Componente
liferay-portal
Corregido en
7.4.2
7.3.11
7.2.11
La vulnerabilidad CVE-2024-25147 es una falla de Cross-Site Scripting (XSS) detectada en Liferay Portal, afectando a las versiones 7.2.0 hasta 7.4.1, así como versiones antiguas no soportadas de Liferay DXP. Esta vulnerabilidad permite a un atacante remoto inyectar código JavaScript malicioso en la página web, comprometiendo potencialmente la confidencialidad e integridad de los datos del usuario. La solución recomendada es actualizar a la versión 7.4.2 o a las versiones correspondientes de Liferay DXP.
Un atacante que explote con éxito esta vulnerabilidad XSS podría ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información sensible almacenada en el navegador. El impacto potencial es significativo, ya que un atacante podría comprometer cuentas de usuario, obtener acceso no autorizado a datos confidenciales y realizar acciones en nombre del usuario afectado. La inyección de código malicioso podría ser sutil y difícil de detectar, lo que aumenta el riesgo de explotación a largo plazo.
CVE-2024-25147 fue publicado el 21 de febrero de 2024. Actualmente no se ha añadido al KEV de CISA, y la probabilidad de explotación se considera baja a moderada, aunque la alta puntuación CVSS indica un riesgo significativo. No se han reportado públicamente exploits activos, pero la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación sugieren que podría ser objeto de ataques en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations heavily reliant on Liferay Portal for content management, intranet portals, or customer-facing applications are at significant risk. Specifically, deployments using older, unsupported versions of Liferay Portal are particularly vulnerable, as they no longer receive security updates. Shared hosting environments where multiple tenants share the same Liferay Portal instance are also at increased risk, as a compromise of one tenant could potentially affect others.
• linux / server:
journalctl -u liferay-portal | grep -i "javascript:"• generic web:
curl -I <liferay_portal_url>/path/to/vulnerable/endpoint | grep -i "Content-Security-Policy"• wordpress / composer / npm: (Not applicable, as Liferay is not a WordPress/Composer/npm component) • database (mysql, redis, mongodb, postgresql): (Not applicable, as the vulnerability is not database-related) • windows / supply-chain: (Not applicable, as the vulnerability is not Windows/supply-chain related)
disclosure
patch
Estado del Exploit
EPSS
0.19% (41% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-25147 es actualizar a la versión corregida de Liferay Portal, 7.4.2 o a las versiones correspondientes de Liferay DXP. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear patrones de ataque XSS conocidos. Monitorear los registros del servidor en busca de patrones sospechosos de inyección de código también puede ayudar a detectar y responder a posibles ataques.
Actualice Liferay Portal a una versión posterior a la 7.4.1 o aplique los parches de seguridad proporcionados por Liferay. Para Liferay DXP, actualice a la versión 7.3 Service Pack 3 o 7.2 Fix Pack 15 o posterior. Consulte el anuncio de seguridad de Liferay para obtener instrucciones detalladas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-25147 is a critical Cross-Site Scripting (XSS) vulnerability in Liferay Portal versions 7.2.0–7.4.1, allowing attackers to inject malicious scripts.
If you are running Liferay Portal 7.2.0–7.4.1, or older unsupported versions, and Liferay DXP 7.3 before service pack 3, 7.2 before fix pack 15, you are affected by this vulnerability.
Upgrade to Liferay Portal version 7.4.2 or later to remediate the vulnerability. Implement temporary workarounds like input validation if immediate upgrade is not possible.
While no confirmed active exploitation campaigns are known, the vulnerability's severity and ease of exploitation suggest a high likelihood of future attacks.
Refer to the official Liferay security advisory for detailed information and updates: [https://liferay.com/security/advisory/liferay-portal-7-4-2-released](https://liferay.com/security/advisory/liferay-portal-7-4-2-released)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.