Multiples Vulnérabilités dans Liferay : Risques Conférences et Injections

Les produits Liferay sont fréquemment utilisés dans des environnements d'entreprise, ce qui les rend particulièrement ciblés par les attaquants. Récemment, le site Cert.ssi.gouv.fr a publié un avis concernant de multiples vulnérabilités dans ces produits, soulignant des risques significatifs pour la confidentialité des données et la sécurité globale des systèmes.

Les Vulnérabilités Détectées

L'avis de Cert.ssi.gouv.fr met en lumière les risques suivants :

• Confidentialité des données (SSRF) : Les vulnérabilités permettent aux attaquants de forcer des requêtes côté serveur, potentiellement exposant des informations sensibles.
• Injection de code (XSS) : Des failles XSS peuvent être exploitées pour injecter du code malveillant dans les applications Liferay, compromettant ainsi la sécurité des utilisateurs.
• Diverses autres vulnérabilités : L’avis mentionne également d'autres failles nécessitant une attention particulière.

Il est crucial que les administrateurs de Liferay mettent rapidement à jour leurs systèmes pour corriger ces vulnérabilités. L'équipe de sécurité de Cert.ssi.gouv.fr recommande une action immédiate pour minimiser les risques.

L'avis complet et les instructions de mise à jour sont disponibles ici : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0766/

Recommandations

Pour une protection optimale, il est conseillé de suivre les directives fournies par l'équipe de Cert.ssi.gouv.fr et de surveiller régulièrement les mises à jour de sécurité Liferay.