Višestruke ranjivosti u proizvodima LifeRay
Višestruke ranjivosti u Liferay Portalu i Liferay DXP-u se odnose na Cross-Site Scripting napade (XSS). Korisnicima se preporučuje da ažuriraju svoje proizvode na najnovije dostupne verzije.
Tehnički detalji ključnih ranjivosti popravljenih ovim ažuriranjem:
- CVE-2023-44311 - Reflektirani XSS s 'code' i 'error' u OAuth2ProviderApplicationRedirect: Ova ranjivost, s CVSS ocjenom 9.6, omogućava udaljenim napadačima umetanje proizvoljne web skripte ili HTML-a putem parametra code ili error.
- CVE-2023-42628 - XSS s podstranicama wiki-a: Ova ranjivost, s CVSS ocjenom 9.0, omogućava udaljenim napadačima umetanje proizvoljnih web skripti ili HTML-a u nadređenu (engl. parent node) wiki stranicu putem oblikovanog sadržaja (engl. payload) umetnutog u tekstualno polje Content wiki stranice.
- CVE-2023-42627 - Višestruki pohranjeni XSS s adresama za dostavu i naplatu: Ova ranjivost, s CVSS ocjenom 9.6, omogućava udaljenim napadačima umetanje proizvoljnih web skripti ili HTML-a putem oblikovanog sadržaja (engl. payload) umetnutog u više polja u modulu Commerce.
- CVE-2023-42497 - XSS s preusmjeravanjem redirect prilikom izvoza ('Export') na Translation stranici: Ova ranjivost, s CVSS ocjenom 9.6, omogućava udaljenim napadačima umetanje proizvoljnih web skripti ili HTML-a putem parametra _com_liferay_translation_web_internal_portlet_TranslationPortlet_redirect.
- CVE-2023-42629 - Stored XSS ranjivost parametra opisa vokabulara: Ova ranjivost, s CVSS ocjenom 9.0, omogućava udaljenim napadačima umetanje proizvoljnih web skripti ili HTML-a putem oblikovanog sadržaja (engl. payload) umetnutog u tekstualno polje description stranice Vocabulary.
- CVE-2023-44310 - XSS s nazivom stranice u Page Tree: Ova ranjivost, s CVSS ocjenom 9.0, omogućava udaljenim napadačima umetanje proizvoljnih web skripti ili HTML-a putem oblikovanog sadržaja (engl. payload) umetnutog u tekstualno polje Name stranice.
Zahvaćeni proizvodi:
- Liferay DXP
- Liferay Portal
Preporuke:
Korisnicima se preporuča ažuriranje zahvaćenih verzija na najnovije dostupne verzije.
Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 31.10.2023 - 10:25]
- https://liferay.dev/portal/security/known-vulnerabilities
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-44311
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42628
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42627
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42497
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42629
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-44310
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima