Vulnérabilités Liferay : Attaques de Confidentialité, SSRF et XSS

Des chercheurs ont récemment mis en lumière plusieurs vulnérabilités critiques dans les produits Liferay. Ces failles de sécurité, signalées sur le site du CERT France (CERT France), pourraient permettre à des attaquants de compromettre la confidentialité des données, de falsifier des requêtes côté serveur (SSRF) et d'injecter du code croisé (XSS).

La première vulnérabilité concerne la confidentialité des données. Elle peut permettre à un attaquant d’obtenir un accès non autorisé aux informations sensibles. La seconde, de type SSRF, permet la manipulation de requêtes envoyées au serveur, pouvant mener à une exfiltration de données ou à des actions malveillantes.

Enfin, la vulnérabilité XSS permet l'injection de code malveillant dans le navigateur des utilisateurs, pouvant permettre le vol de cookies, l'exécution de scripts malveillants ou la modification du contenu de la page web. La rapidité d'action est essentielle pour corriger ces vulnérabilités et protéger les systèmes Liferay.

Il est crucial que les administrateurs de Liferay mettent en œuvre des mesures correctives immédiates pour se prémunir contre ces attaques. Cela inclut la mise à jour des produits concernés vers les dernières versions corrigées et la mise en place de contrôles de sécurité appropriés.