Plataforma
java
Componente
frontend-js-module
Corregido en
7.4.4
7.4.14
7.3.11
7.2.11
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el módulo Frontend JS de Liferay Portal. Esta vulnerabilidad permite a atacantes remotos inyectar scripts web o HTML arbitrarios a través de la parte de anclaje (hash) de una URL. Afecta a las versiones 7.2.0 hasta 7.4.3.37 de Liferay Portal y a Liferay DXP versiones anteriores a la actualización 38. La solución recomendada es actualizar a la versión 7.4.4 o superior.
Un atacante que explote esta vulnerabilidad podría ejecutar código JavaScript malicioso en el navegador de un usuario legítimo. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el control total de la cuenta del usuario. La inyección de scripts arbitrarios permite a los atacantes obtener acceso a información confidencial, realizar acciones en nombre del usuario afectado y comprometer la integridad del sistema. Dada la naturaleza de Liferay Portal como plataforma de desarrollo y gestión de contenido, el impacto puede ser significativo, afectando a la confidencialidad, integridad y disponibilidad de los datos y servicios.
Esta vulnerabilidad ha sido publicada públicamente el 21 de febrero de 2024. No se ha reportado explotación activa a gran escala, pero la disponibilidad de la descripción de la vulnerabilidad y su alta puntuación CVSS (9.6) sugieren un riesgo significativo. Es importante implementar las mitigaciones recomendadas lo antes posible para proteger los sistemas Liferay Portal de posibles ataques. La vulnerabilidad podría ser explotada de forma similar a otras vulnerabilidades XSS, utilizando técnicas de inyección de código en la URL.
Organizations using Liferay Portal and DXP versions 7.2.0 through 7.4.3.37 are at risk. This includes businesses relying on Liferay for content management, collaboration, and digital experience delivery. Shared hosting environments where multiple customers share the same Liferay instance are particularly vulnerable, as an attacker could potentially compromise other tenants.
• linux / server:
journalctl -u liferay-portal | grep -i 'script' -i 'html'• generic web:
curl -I https://your-liferay-portal/some/page#<script>alert('XSS')</script> | grep -i 'content-type'• wordpress / composer / npm: (Not applicable, as Liferay is not a WordPress/Composer/npm component) • database (mysql, redis, mongodb, postgresql): (Not applicable, as the vulnerability is in the frontend JS) • windows / supply-chain: (Not applicable, as Liferay is a Java application)
disclosure
patch
Estado del Exploit
EPSS
0.19% (41% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 7.4.4 o superior de Liferay Portal, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de Web Application Firewall (WAF) para filtrar las solicitudes que contengan código malicioso en la parte de anclaje de la URL. Además, se pueden aplicar configuraciones de seguridad adicionales en Liferay Portal para restringir la ejecución de scripts en el lado del cliente. Verifique que la configuración de seguridad de contenido (CSP) esté correctamente implementada para mitigar el riesgo de XSS. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs de seguridad y realizando pruebas de penetración.
Actualice Liferay Portal a la última versión disponible o aplique los parches correspondientes proporcionados por Liferay. Consulte el advisory de seguridad de Liferay para obtener instrucciones detalladas sobre cómo aplicar las actualizaciones o parches necesarios. Esto solucionará la vulnerabilidad XSS en el módulo Frontend JS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Es una vulnerabilidad de Cross-Site Scripting (XSS) en el módulo Frontend JS de Liferay Portal que permite la inyección de scripts maliciosos a través de la URL. Tiene una severidad CRÍTICA (CVSS 9.6).
Sí, si está utilizando Liferay Portal en las versiones 7.2.0 hasta 7.4.3.37, o Liferay DXP en versiones anteriores a la actualización 38, es vulnerable a esta vulnerabilidad.
La solución es actualizar a la versión 7.4.4 o superior de Liferay Portal. Si no es posible, implemente reglas WAF para filtrar solicitudes maliciosas.
Aunque no se ha reportado explotación activa a gran escala, la alta puntuación CVSS y la disponibilidad pública de la descripción de la vulnerabilidad sugieren un riesgo significativo.
Consulte la página de seguridad de Liferay Portal para obtener información oficial y actualizaciones: [https://liferay.com/documentation/](https://liferay.com/documentation/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.