Plataforma
java
Componente
users-admin-module
Corregido en
7.4.3
7.3.11
7.2.11
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el módulo de administración de usuarios de Liferay Portal. Esta falla permite a usuarios autenticados inyectar código JavaScript malicioso en la página de edición de usuarios, específicamente a través del campo 'Nombre' de una organización. Las versiones afectadas son Liferay Portal 7.2.0 a 7.4.2, así como versiones no soportadas y Liferay DXP 7.3 anteriores al Service Pack 3 y 7.2 anteriores al Fix Pack 17. La actualización a la versión 7.4.3 o la aplicación del Fix Pack 17 para 7.2 es la solución recomendada.
La vulnerabilidad XSS almacenada en Liferay Portal permite a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios que visitan la página editada. Esto puede resultar en el robo de cookies de sesión, el secuestro de cuentas de usuario, la redirección a sitios web maliciosos y la manipulación del contenido de la página. Un atacante podría, por ejemplo, robar las credenciales de un administrador para obtener acceso completo al sistema Liferay y a los datos sensibles que contiene. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y al potencial impacto en la confidencialidad, integridad y disponibilidad del sistema.
Esta vulnerabilidad ha sido publicada públicamente el 21 de febrero de 2024. No se ha confirmado la explotación activa en la naturaleza, pero la alta puntuación CVSS (9.0) indica un alto riesgo. Es importante implementar las mitigaciones lo antes posible para evitar posibles ataques. No se ha añadido a KEV hasta la fecha.
Organizations heavily reliant on Liferay Portal for user management and internal applications are at significant risk. Specifically, deployments with older, unsupported versions of Liferay Portal or DXP are particularly vulnerable, as they no longer receive security updates. Shared hosting environments where multiple organizations share the same Liferay instance are also at increased risk, as a compromise of one user account could potentially impact other tenants.
• linux / server:
journalctl -u liferay -g "XSS injection"• generic web:
curl -I 'https://<liferay_portal_url>/users/admin/edit-user?organizationName=<xss_payload>' | grep 'Content-Security-Policy'• wordpress / composer / npm: (Not applicable - Liferay is not a WordPress/Composer/npm project) • database (mysql, redis, mongodb, postgresql): (Not applicable - XSS is a web vulnerability) • windows / supply-chain: (Not applicable - Liferay is not a Windows/supply-chain application)
disclosure
patch
Estado del Exploit
EPSS
0.15% (36% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 7.4.3 de Liferay Portal o aplicar el Fix Pack 17 para la versión 7.2. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el módulo de administración de usuarios. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de código JavaScript sospechosos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se pueden inyectar scripts maliciosos en el campo 'Nombre' de la organización.
Actualice Liferay Portal a una versión posterior a la 7.4.2 o a Liferay DXP 7.3 a service pack 3 o superior, o Liferay DXP 7.2 a fix pack 17 o superior. Esto corregirá la vulnerabilidad XSS almacenada en el módulo de administración de usuarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-25602 is a stored cross-site scripting (XSS) vulnerability in Liferay Portal's Users Admin module, allowing attackers to inject malicious scripts.
You are affected if you are running Liferay Portal versions 7.2.0–7.4.2, or older unsupported versions, and Liferay DXP versions prior to service pack 3 for 7.3 and prior to fix pack 17 for 7.2.
Upgrade to Liferay Portal 7.4.3 or later to remediate the vulnerability. Consider temporary workarounds like input validation and WAF rules if immediate upgrading is not possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's CRITICAL severity suggests a high probability of exploitation.
Refer to the official Liferay security advisory for detailed information and mitigation steps: [https://liferay.com/security-advisories/liferay-portal-and-dxp-security-vulnerability-xss-in-users-admin-module](https://liferay.com/security-advisories/liferay-portal-and-dxp-security-vulnerability-xss-in-users-admin-module)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.