Plateforme
java
Composant
users-admin-module
Corrigé dans
7.4.3
7.3.11
7.2.11
Une vulnérabilité de Cross-Site Scripting (XSS) stockée a été découverte dans le module d'administration des utilisateurs de Liferay Portal. Cette faille permet à des utilisateurs authentifiés à distance d'injecter des scripts web ou du code HTML arbitraire via un payload malveillant inséré dans le champ 'Nom' d'une organisation. Les versions affectées incluent Liferay Portal 7.2.0 à 7.4.2, ainsi que des versions non prises en charge plus anciennes et Liferay DXP 7.3 avant le service pack 3 et 7.2 avant le fix pack 17. La mise à jour vers la version 7.4.3 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web de Liferay Portal. Ce code peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites web malveillants, modifier le contenu de la page web ou même exécuter du code arbitraire dans le contexte du navigateur de l'utilisateur. L'impact est amplifié si l'attaquant peut compromettre un compte administrateur, lui donnant un contrôle total sur le système Liferay. Cette vulnérabilité est particulièrement préoccupante car elle affecte un module d'administration, ce qui augmente le potentiel de dommages significatifs. Une exploitation réussie pourrait mener à un vol de données sensibles, une dégradation de la réputation et une interruption des services.
Cette vulnérabilité a été rendue publique le 21 février 2024. Bien qu'aucune exploitation active à grande échelle n'ait été signalée à ce jour, la nature de la vulnérabilité XSS la rend potentiellement exploitable. La présence d'un champ d'entrée utilisateur non validé dans un module d'administration augmente le risque d'exploitation. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter toute nouvelle information sur l'exploitation de cette vulnérabilité.
Organizations heavily reliant on Liferay Portal for user management and internal applications are at significant risk. Specifically, deployments with older, unsupported versions of Liferay Portal or DXP are particularly vulnerable, as they no longer receive security updates. Shared hosting environments where multiple organizations share the same Liferay instance are also at increased risk, as a compromise of one user account could potentially impact other tenants.
• linux / server:
journalctl -u liferay -g "XSS injection"• generic web:
curl -I 'https://<liferay_portal_url>/users/admin/edit-user?organizationName=<xss_payload>' | grep 'Content-Security-Policy'• wordpress / composer / npm: (Not applicable - Liferay is not a WordPress/Composer/npm project) • database (mysql, redis, mongodb, postgresql): (Not applicable - XSS is a web vulnerability) • windows / supply-chain: (Not applicable - Liferay is not a Windows/supply-chain application)
disclosure
patch
Statut de l'Exploit
EPSS
0.15% (percentile 36%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Liferay Portal vers la version 7.4.3 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de désactiver temporairement le champ 'Nom' de l'organisation ou de mettre en œuvre une validation stricte des entrées utilisateur pour empêcher l'injection de code malveillant. L'utilisation d'un Web Application Firewall (WAF) avec des règles spécifiques pour bloquer les attaques XSS peut également aider à atténuer le risque. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. En cas de compromission, effectuez une analyse complète du système pour identifier et supprimer tout code malveillant.
Mettez à jour Liferay Portal vers une version ultérieure à la 7.4.2 ou Liferay DXP 7.3 vers le service pack 3 ou supérieur, ou Liferay DXP 7.2 vers le fix pack 17 ou supérieur. Cela corrigera la vulnérabilité XSS stockée dans le module d'administration des utilisateurs.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-25602 is a stored cross-site scripting (XSS) vulnerability in Liferay Portal's Users Admin module, allowing attackers to inject malicious scripts.
You are affected if you are running Liferay Portal versions 7.2.0–7.4.2, or older unsupported versions, and Liferay DXP versions prior to service pack 3 for 7.3 and prior to fix pack 17 for 7.2.
Upgrade to Liferay Portal 7.4.3 or later to remediate the vulnerability. Consider temporary workarounds like input validation and WAF rules if immediate upgrading is not possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's CRITICAL severity suggests a high probability of exploitation.
Refer to the official Liferay security advisory for detailed information and mitigation steps: [https://liferay.com/security-advisories/liferay-portal-and-dxp-security-vulnerability-xss-in-users-admin-module](https://liferay.com/security-advisories/liferay-portal-and-dxp-security-vulnerability-xss-in-users-admin-module)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.