Множественные уязвимости в Liferay Portal

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и обойти ограничения безопасности.

1. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов. Удаленный пользователь может с помощью специально сформированной ссылки осуществить CSRF нападение и изменить настройки плагинов.

2. Уязвимость существует из-за недостаточной обработки входных данных в Asset Publisher, WCM display portlets, portlet Look&Feel screen, Layout CSS, Mobile Device Rules, SessionClickAction, Theme configuration, Page Variation History, FileEntry and Folder title, конфигурации поиска, WCM title preview & Trash model title, DocLib repository, DDM Structures, Jurnal, LDAP group import test, Public параметрах конфигурации и репозитории. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, при просмотре вредоносных данных.

3. Уязвимость существует из-за недостаточной обработки входных данных в Directory portlets, Trash, DocLib & Journal, Group Statistics, Mobile Device Rules, roles administration и SessionClickAction. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Уязвимость существует из-за того, что приложение не правильно проверяет разрешение. Удаленный пользователь может получить доступ к иной ограниченной функциональности.

URL производителя: http://www.liferay.com/