Multiples Vulnérabilités dans les Produits Liferay : Attentes de Confidentialité et Risques SSRF/XSS

Le gouvernement français, via son CERT, a récemment mis en lumière une série de vulnérabilités significatives dans les produits Liferay. Ces failles représentent un risque potentiel pour la confidentialité des données et pour la sécurité des systèmes qui les utilisent. Plus précisément, l'avis de CERTFR-2025-AVI-0766, rendu public, met en évidence trois types de vulnérabilités : des atteintes à la confidentialité des données, des falsifications de requêtes côté serveur (SSRF) et des injections de code de type Cross-Site Scripting (XSS).

Les vulnérabilités à la confidentialité des données permettent potentiellement à un attaquant d'accéder à des informations sensibles non autorisées. La falsification de requêtes côté serveur (SSRF) pourrait permettre d'envoyer des requêtes malveillantes au serveur, ouvrant ainsi la porte à des attaques plus sophistiquées. Enfin, les vulnérabilités XSS permettent l'injection de code malveillant dans les pages web consultées par les utilisateurs, compromettant ainsi leur sécurité.

Il est impératif pour les organisations et les utilisateurs de prendre les mesures nécessaires pour corriger ces vulnérabilités. Ceci implique l’application des mises à jour de sécurité fournies par les éditeurs de Liferay, mais également la mise en place de politiques de sécurité appropriées et une sensibilisation accrue aux risques de sécurité. Pour plus d'informations, consultez l'avis officiel du CERT FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0766/