Plataforma
java
Componente
com.liferay.portal:release.portal.bom
Corregido en
7.4.4
7.4.14
7.3.11
7.2.11
7.4.3.14
CVE-2024-26266 describe múltiples vulnerabilidades de Cross-Site Scripting (XSS) almacenado en Liferay Portal y DXP. Estas vulnerabilidades permiten a usuarios autenticados inyectar código web arbitrario o HTML, comprometiendo la seguridad de la aplicación. Afectan a versiones de Liferay Portal 7.2.0 hasta 7.4.3.13 y a versiones antiguas no soportadas de Liferay DXP. La solución es actualizar a la versión 7.4.3.14.
Un atacante puede explotar estas vulnerabilidades inyectando scripts maliciosos en los campos de nombre (primero, medio o apellido) de un usuario al crear una entrada en los widgets Announcement o Alerts. Estos scripts pueden ser utilizados para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso ejecutar código arbitrario en el contexto del usuario afectado. El impacto es significativo, ya que permite la ejecución de código en el navegador del usuario, lo que puede resultar en la pérdida de datos confidenciales o el control completo de la cuenta. La naturaleza almacenada de la vulnerabilidad significa que el ataque puede afectar a múltiples usuarios que interactúan con los widgets afectados.
Este CVE fue publicado el 21 de febrero de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la severidad CRÍTICA de la vulnerabilidad sugiere un riesgo significativo. Se recomienda monitorear activamente los sistemas Liferay Portal para detectar posibles intentos de explotación.
Organizations utilizing Liferay Portal 7.2.0 through 7.4.3.13, and older unsupported versions, and Liferay DXP versions prior to update 10 are at risk. This includes businesses relying on Liferay for content management, intranet portals, and customer experience platforms. Shared hosting environments where multiple users have access to create content within Liferay are particularly vulnerable.
• linux / server:
journalctl -u liferay-portal | grep -i "XSS"• generic web:
curl -I https://<liferay_portal_url>/ | grep -i "X-XSS-Protection"• wordpress / composer / npm: (Not applicable as Liferay is not a WordPress/Composer/npm component) • database (mysql, redis, mongodb, postgresql): (Not applicable as the vulnerability is not directly related to the database) • windows / supply-chain: (Not applicable as Liferay is not a Windows/supply-chain component)
disclosure
patch
Estado del Exploit
EPSS
0.15% (36% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Liferay Portal a la versión 7.4.3.14 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a los widgets Announcement y Alerts a usuarios de confianza. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para filtrar entradas sospechosas en los campos de nombre. Es crucial revisar y validar todas las entradas de usuario antes de mostrarlas en la interfaz de usuario. Tras la actualización, verificar la correcta aplicación de la solución mediante la simulación de ataques XSS en los widgets afectados.
Actualice Liferay Portal a la versión más reciente disponible. Para Liferay DXP, actualice a la versión 7.4 Update 10, 7.3 Update 4 o 7.2 Fix Pack 17, o una versión posterior. Esto solucionará las vulnerabilidades de cross-site scripting (XSS) almacenadas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-26266 is a critical stored cross-site scripting (XSS) vulnerability in Liferay Portal and DXP versions allowing attackers to inject malicious scripts through user name fields in widgets.
You are affected if you are running Liferay Portal versions 7.2.0 through 7.4.3.13, or older unsupported versions, and Liferay DXP versions prior to update 10.
Upgrade to Liferay Portal 7.4.3.14 or later, or to Liferay DXP update 10 or later. Consider input validation and WAF rules as temporary mitigations.
No active exploitation has been confirmed, but the CRITICAL severity suggests it is a likely target.
Refer to the official Liferay security advisory: [https://liferay.com/security-advisories/liferay-portal-dxp-74-3-14-and-liferay-dxp-73-4-released](https://liferay.com/security-advisories/liferay-portal-dxp-74-3-14-and-liferay-dxp-73-4-released)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.