Vulnérabilité XSS par Rebond dans Liferay : Menace à Surveiller

Une vulnérabilité significative a été rapportée concernant Liferay, un système de gestion de contenu largement utilisé. Plus précisément, cette faille, qualifiée de vulnérabilité XSS par rebound (Cross-Site Scripting par rebound), offre aux attaquants la possibilité d'injecter du code malveillant via des requêtes spécialement conçues. Il est crucial de comprendre que la nature « par rebound » signifie que l'attaquant n'a pas besoin d'accès direct au système cible pour mener à bien l'attaque.

L'exploitation de cette vulnérabilité se produit lorsque Liferay ne filtre pas correctement les données fournies par les utilisateurs lors de la construction de requêtes. Un attaquant peut alors injecter du code JavaScript qui sera exécuté par le navigateur des utilisateurs affectés. Cela pourrait permettre le vol de cookies, la redirection vers des sites malveillants, ou l'exécution d'autres actions préjudiciables.

Il est essentiel que les organisations qui utilisent Liferay mettent en œuvre des mesures de sécurité robustes pour atténuer ce risque. Cela comprend, entre autres, la mise à jour régulière des logiciels, l'application de correctifs de sécurité, l'utilisation de mécanismes de validation d'entrée et d'échappement de sortie appropriés, et la sensibilisation des utilisateurs aux risques liés aux attaques XSS. Pour plus d'informations, consultez la source originale : CERTFR-2025-AVI-0810.