Sintesi

Rilevate nuove vulnerabilità, di cui una con gravità “critica”, in Liferay, noto Enterprise Portal open-source.

Tipologia

• Arbitrary Code Execution

Prodotti e versioni affette

Liferay

• Portal 7.4.x, dalla versione 7.4.0 alla 7.4.3.11
• Portal 7.3.x, dalla versione 7.3.0 alla 7.3.7
• Portal 7.2.x, versione 7.2.0 e 7.2.1
• Portal, tutte le versioni non più supportate
• DXP 7.4.x, 7.4 versioni precedenti alla update 8
• DXP 7.3.x, 7.3 versioni precedenti alla update 4
• DXP 7.2.x, 7.2 versioni precedenti alla fix pack 17
• DXP, tutte le versioni non più supportate

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nei bollettini di sicurezza riportati nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica”:

CVE-2024-25145

Riferimenti

https://liferay.dev/portal/security/known-vulnerabilities

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25145?_com_liferay_asset_publisher_web_portlet_AssetPublisherPortlet_INSTANCE_jekt_assetEntryId=122383447

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.