Plataforma
java
Componente
com.liferay.portal:release.portal.bom
Corregido en
7.4.4
7.4.14
7.3.11
7.2.11
7.4.3.5
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Liferay Portal y Liferay DXP. Esta falla, presente en versiones 7.2.0 hasta 7.4.3.4 y versiones no soportadas anteriores, permite a usuarios autenticados inyectar código JavaScript malicioso. La vulnerabilidad reside en el módulo Dynamic Data Mapping (DDMForm) y se explota a través del parámetro instanceId. La versión corregida es 7.4.3.5, y se recomienda aplicar la actualización lo antes posible.
Un atacante puede aprovechar esta vulnerabilidad para ejecutar scripts maliciosos en el navegador de otros usuarios autenticados en Liferay Portal. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso la ejecución remota de código. El impacto es particularmente grave porque la inyección se realiza de forma almacenada, lo que significa que el script malicioso persiste en el sistema y puede afectar a múltiples usuarios. La explotación exitosa podría comprometer la confidencialidad, integridad y disponibilidad del sistema Liferay Portal y los datos asociados.
Esta vulnerabilidad ha sido publicada públicamente el 21 de febrero de 2024. No se ha reportado su inclusión en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad XSS la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas Liferay Portal en busca de actividad sospechosa.
Organizations using Liferay Portal and DXP in environments where authenticated users have access to the Dynamic Data Mapping module are at risk. This includes businesses utilizing Liferay for content management, intranet portals, and customer experience platforms. Legacy Liferay installations running unsupported versions are particularly vulnerable due to lack of security updates.
• linux / server: Examine Liferay Portal access logs for suspicious requests targeting the DDMForm with unusual parameters in the instanceId field. Use grep to search for patterns like <script> or javascript: within these requests.
grep -i '<script' /path/to/liferay/portal/logs/access.log• generic web: Use curl to test the DDMForm endpoint with a simple XSS payload in the instanceId parameter and observe the response for signs of script execution.
curl -X POST -d "instanceId=<script>alert('XSS')</script>" <liferay_portal_url>/ddm/forms/<form_id>• java: Monitor Liferay Portal's internal logging for errors related to DDMForm processing or unexpected script execution. Analyze stack traces for clues related to the vulnerability. • wordpress / composer / npm: N/A - This vulnerability is specific to Liferay Portal, not WordPress or its dependencies. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability is not related to database systems.
disclosure
patch
Estado del Exploit
EPSS
0.15% (36% percentil)
Vector CVSS
La solución principal es actualizar Liferay Portal a la versión 7.4.3.5 o posterior. Si la actualización inmediata no es posible, se recomienda implementar mitigaciones temporales. Estas pueden incluir la validación y el saneamiento exhaustivos de la entrada del usuario en el módulo Dynamic Data Mapping, así como la implementación de políticas de seguridad de contenido (CSP) para restringir la ejecución de scripts en la página web. Además, se recomienda revisar y fortalecer las políticas de acceso y autenticación para limitar el número de usuarios autenticados que pueden acceder al módulo vulnerable. Tras la actualización, confirme la mitigación revisando los registros de auditoría en busca de intentos de inyección de XSS.
Actualice Liferay Portal a la versión más reciente que incluya la corrección para esta vulnerabilidad XSS. Consulte el aviso de seguridad de Liferay para obtener detalles sobre las versiones corregidas y los pasos de actualización específicos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-25603 is a stored cross-site scripting (XSS) vulnerability in Liferay Portal 7.2.0 through 7.4.3.4 and DXP, allowing authenticated users to inject malicious scripts.
You are affected if you are using Liferay Portal versions ≤7.4.3.4 or DXP versions 7.4.13, 7.3 before update 4, or 7.2 before fix pack 17.
Upgrade to Liferay Portal 7.4.3.5 or later. As a temporary measure, implement input validation and output encoding on the instanceId parameter.
There is currently no indication of active exploitation, but the vulnerability's criticality suggests it could become a target.
Refer to the official Liferay security advisory: [https://liferay.com/portal/security-advisory/liferay-portal-dxp-security-vulnerability-xss-in-ddmform](https://liferay.com/portal/security-advisory/liferay-portal-dxp-security-vulnerability-xss-in-ddmform)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.