Sintesi

Rilevate molteplici nuove vulnerabilità, di cui una con gravità “critica” e 4 con gravità “alta”, in Liferay, noto Enterprise Portal open-source.

Tipologia

• Arbitrary Code Execution
• Data Manipulation
• Denial of Service
• Tampering

Prodotti e versioni affette

Liferay

• Portal 7.4.x, versione 7.4.3.111 e precedenti
• Portal 7.3.x, versione 7.3.7 e precedenti
• Portal 7.2.x, versione 7.2.1 e precedenti
• Portal 7.1.x, versione 7.1.3 e precedenti
• Portal 7.0.x, versione 7.0.6 e precedenti
• DXP 2023.Q4.x, versione 2023.Q4.5 e precedenti
• DXP 2023.Q3.x, versione 2023.Q3.8 e precedenti
• DXP 7.4, tutte le versioni
• DXP 7.3, tutte le versioni
• DXP 7.2, tutte le versioni
• DXP 7.1, tutte le versioni
• DXP 7.0, tutte le versioni
• DXP 6.2, tutte le versioni

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nei bollettini di sicurezza riportati nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:

CVE-2024-8980

CVE-2024-26271

CVE-2024-26272

CVE-2024-26273

CVE-2024-38002

Riferimenti

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-8980

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-26271

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-26273

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-26272

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-38002

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.