Multiples Vulnérabilités dans les Produits Liferay : Une Analyse et des Recommandations

Les produits Liferay sont largement utilisés pour la création de portails d'entreprise et d'applications web. Cependant, comme tout logiciel, ils ne sont pas exempts de vulnérabilités. Un récent avis du CERT FR (Centre d'Échange de Renseignements et de Techniques sur la Sécurité des Systèmes et Réseaux) met en lumière plusieurs failles critiques, nécessitant une attention particulière.

Selon l’avis CERTFR-2025-AVI-0766, plusieurs vulnérabilités ont été découvertes. Parmi celles-ci, il existe des failles permettant à un attaquant de provoquer une atteinte à la confidentialité des données (data confidentiality), une falsification de requêtes côté serveur (Server-Side Request Forgery - SSRF) et une injection de code indirecte à distance (Cross-Site Scripting - XSS). Ces vulnérabilités pourraient être exploitées pour compromettre la sécurité des systèmes et des données.

La vulnérabilité d’atteinte à la confidentialité des données signifie qu’un attaquant pourrait accéder à des informations sensibles, tandis que les failles SSRF et XSS permettent de manipuler les requêtes et d’injecter du code malveillant, compromettant potentiellement l’intégrité des applications et des données.

Il est crucial que les administrateurs et les développeurs prennent des mesures immédiates pour corriger ces vulnérabilités. Cela comprend la mise à jour des produits Liferay vers les dernières versions, l’application de correctifs de sécurité et la mise en œuvre de bonnes pratiques de sécurité, telles que l’authentification forte, le contrôle d’accès et la validation des entrées.

Pour plus d'informations, consultez l'avis officiel du CERT FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0766/

La vigilance et la réactivité sont essentielles pour minimiser les risques associés à ces vulnérabilités. Il est recommandé de surveiller régulièrement les alertes de sécurité et d'appliquer les correctifs dès qu'ils sont disponibles.