Vulnérabilités Liferay : Plusieurs failles de sécurité découvertes

Des chercheurs ont récemment mis en lumière plusieurs vulnérabilités critiques dans Liferay, la plateforme d’entreprise open source de logiciel de service. Ces failles, documentées dans un avis de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), pourraient permettre à des attaquants de compromettre les systèmes et d’accéder à des données sensibles. Vous pouvez consulter l’avis officiel sur le site de l’ANSSI :

Les vulnérabilités découvertes incluent notamment :

• Déni de service à distance (DDoS) : Une attaque par déni de service à distance pourrait être utilisée pour rendre Liferay inaccessible pour les utilisateurs légitimes.
• Injection de code indirecte (XSS) : Des injections de code croisé (XSS) pourraient permettre à des attaquants d’exécuter du code malveillant sur les navigateurs des utilisateurs.
• Contournement de la politique de sécurité : Des failles permettent de contourner les mécanismes de sécurité intégrés à Liferay.

Il est impératif que les administrateurs de Liferay mettent en œuvre des mesures correctives immédiates, telles que l'application des correctifs de sécurité publiés par l’éditeur. La vigilance est de mise pour prévenir les attaques et protéger les données sensibles. Pour une analyse plus approfondie, consultez la source d’information originale : [CERTFR-2025-AVI-0800](https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0800/)