NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Liferay Portal en DXP
Advisory ID     : NCSC-2024-0082
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2023-40191, CVE-2023-42496, CVE-2023-42498,
                  CVE-2024-25151, CVE-2024-25152, CVE-2024-25601,
                  CVE-2024-25602, CVE-2024-25603, CVE-2024-25609,
                  CVE-2024-25610, CVE-2024-26265, CVE-2024-26266,
                  CVE-2024-26267, CVE-2024-26268, CVE-2024-26269,
                  CVE-2024-26270
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Cross-Site Scripting (XSS)
                  (Remote) code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20240222
Toepassing      : Liferay Liferay
Versie(s)       :
Platform(s)     :

Beschrijving
   Liferay heeft kwetsbaarheden verholpen in Liferay Portal en DXP. Een
   kwaadwillende kan de kwetsbaarheden misbruiken om op diverse
   manieren een Cross-Site-Scripting-aanval uit te voeren. Een
   dergelijke aanval kan leiden tot uitvoer van willekeurige code in de
   browser van het slachtoffer, of toegang tot gevoelige gegevens in de
   context van de browser van het slachtoffer.

Mogelijke oplossingen
   Liferay heeft updates uitgebracht om de kwetsbaarheden te verhelpen
   in Portal en DXP. Voor meer informatie, zie:

   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2023-40191
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2023-42496
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2023-42498
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-25151
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-25152
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-25601
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-25602
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-25603
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-25609
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-25610
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-26265
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-26266
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-26267
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-26268
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-26269
   https://liferay.dev/portal/security/known-vulnerabilities/-
      /asset_publisher/jekt/content/cve-2024-26270

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298) - not licensed for commercial use: www.pgp.com
Charset: utf-8
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=1j0m
-----END PGP SIGNATURE-----