Vulnérabilité Liferay : Injection de Requête Illégitime par Rebond (CSRF)

Une nouvelle vulnérabilité a été signalée dans Liferay, impactant potentiellement la sécurité des systèmes utilisant cette plateforme. Plus précisément, une injection de requête illégitime par rebond (CSRF) est désormais possible, offrant à un attaquant la possibilité de déclencher des actions non autorisées sur le système.

La vulnérabilité permet d'exploiter l'attaque CSRF (Cross-Site Request Forgery). Cette technique consiste à amener un utilisateur authentifié à effectuer une action sur un site web, sans son consentement direct. Dans ce cas, l'attaquant peut inciter un utilisateur authentifié à effectuer une requête à un site web malveillant, conduisant à des conséquences potentiellement néfastes.

Il est crucial de comprendre que les attaques CSRF exploitent la confiance de l'utilisateur. En raison des mécanismes de sécurité des navigateurs qui approuvent automatiquement les requêtes provenant du même domaine, un utilisateur peut être manipulé pour effectuer des actions indésirables.

Pour se protéger contre cette vulnérabilité, il est recommandé de mettre en œuvre des mesures de sécurité robustes, telles que la validation côté serveur des requêtes, l'utilisation de tokens CSRF et la mise en place de politiques de sécurité appropriées. Pour plus d'informations sur cette vulnérabilité et les recommandations de sécurité, consultez le rapport original publié sur cert.ssi.gouv.fr.