Multiples Vulnérabilités dans les Produits Liferay : Attaque de Confidentialité, SSRF et XSS

Des chercheurs en sécurité ont récemment découvert plusieurs vulnérabilités dans les produits Liferay, une plateforme populaire de gestion de contenu et d'automatisation des processus métiers. Ces vulnérabilités représentent un risque significatif pour les entreprises qui utilisent Liferay. Plus précisément, les chercheurs ont identifié des faiblesses permettant de compromettre la confidentialité des données, d'exécuter des requêtes de manière non autorisée (SSRF - Server-Side Request Forgery) et d'injecter du code malveillant via des attaques XSS (Cross-Site Scripting).

La vulnérabilité de confidentialité permet à un attaquant d’accéder à des informations sensibles qui ne devraient pas être accessibles. La faille SSRF permet à un attaquant d’interroger des services internes ou externes via le serveur Liferay, potentiellement révélant des informations confidentielles ou causant des dommages. La vulnérabilité XSS, quant à elle, peut permettre à un attaquant d’injecter du code malveillant dans le navigateur des utilisateurs, compromettant leur session et leur compte.

Il est crucial que les entreprises et les utilisateurs de Liferay mettent en œuvre des mesures de sécurité appropriées, telles que la mise à jour régulière des logiciels, l'application de correctifs de sécurité et la limitation des accès aux ressources sensibles. Pour plus d'informations sur ces vulnérabilités, veuillez consulter la source originale : CERTFR-2025-AVI-0766. La prise en compte de ces risques est essentielle pour maintenir la sécurité de l’environnement Liferay.