Множественные уязвимости в Liferay Portal

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю осуществить XSS атаку.

1. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение и удалить произвольные учетные записи пользователей.

Примечание: Уязвимость № 1 распространяет только на версии 6.1 CE и 6.1 EE.

2. Узвимость существует из-за недостаточной обработки входных данных в параметре uploadProgressId в сценарии html/portal/upload_progress_poller.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

3. Узвимость существует из-за недостаточной обработки входных данных в параметре ckEditorConfigFileName при редактировании статей в журналах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Узвимость существует из-за недостаточной обработки входных данных в параметре _16_chartId_16_chartId при просмотре конвертора валют. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

5. Узвимость существует из-за недостаточной обработки входных данных в параметра tag при просмотре категорий. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.netgear.com/

Решение: Способов устранения уязвимости не существует в настоящее время.