Multiples Vulnérabilités dans les Produits Liferay : Attaque Potentielle

Le CERT-SSI a récemment publié un avis important concernant plusieurs vulnérabilités critiques dans les produits Liferay. Ces failles, qui comprennent des problèmes de confidentialité, une falsification de requêtes côté serveur (SSRF) et une injection de code indirecte à distance (XSS), pourraient permettre aux attaquants d'accéder à des données sensibles ou de compromettre l’intégrité des systèmes.

La vulnérabilité d'atteinte à la confidentialité des données signifie que les attaquants pourraient potentiellement accéder à des informations confidentielles stockées ou traitées par les applications Liferay. La falsification de requêtes côté serveur (SSRF) pourrait permettre aux attaquants de manipuler les requêtes envoyées au serveur, ce qui pourrait conduire à l'accès non autorisé à des ressources internes. Enfin, l'injection de code indirecte à distance (XSS) permettrait d'exécuter du code malveillant sur les systèmes des utilisateurs.

Il est crucial que les organisations qui utilisent les produits Liferay prennent des mesures immédiates pour corriger ces vulnérabilités. Les correctifs sont disponibles auprès des éditeurs de Liferay et des fournisseurs de services de sécurité. Il est fortement recommandé de surveiller les mises à jour de sécurité et de mettre en œuvre les meilleures pratiques en matière de sécurité, telles que la validation des entrées, la limitation des privilèges et la mise en œuvre d'un pare-feu d'application web.

Pour plus d'informations, consultez le rapport officiel du CERT-SSI : CERT-SSI Avis 2025-AVI-0766