Duy Huynh

**Name of the Vulnerable Software and Affected Versions** Liferay Portal versions 7.3.0 through 7.4.0 Liferay DXP 7.3 before update 14 **Description** A cross-site scripting (XSS) issue exists in the App Builder module's custom object details page, allowing remote attackers to inject arbitrary web script or HTML via a crafted payload injected into an App Builder custom object's `Name` field. **Recommendations** For Liferay Portal versions 7.3.0 through 7.4.0, update to a version outside of the affected range to resolve the issue. For Liferay DXP 7.3, apply update 14 or later to fix the vulnerability. As a temporary workaround, consider restricting access to the App Builder module's custom object details page until a patch is available. Avoid using the `Name` field in the App Builder custom object until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Liferay Portal, versões 7.3.5 a 7.4.2 Liferay DXP 7.3, anterior à atualização 8 **Descrição** Certos produtos Liferay estão vulneráveis a ataques de Cross Site Scripting (XSS) por meio do módulo Commerce. **Recomendações** Para as versões 7.3.5 a 7.4.2 do Liferay Portal, atualize para uma versão posterior à 7.4.2 para resolver o problema. Para o Liferay DXP 7.3, aplique a atualização 8 para corrigir a vulnerabilidade. Como solução temporária, considere desativar o módulo Commerce até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Liferay Portal 7.3.3 a 7.4.0 Liferay DXP 7.3 antes do Service Pack 3 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) no seletor de categorias de ativos do módulo Asset, permitindo que invasores remotos injetem scripts da web ou HTML arbitrários por meio do nome de uma categoria de ativo. **Recomendações** Para as versões 7.3.3 a 7.4.0 do Liferay Portal, atualize para uma versão fora desse intervalo para resolver o problema. Para o Liferay DXP 7.3 anterior ao Service Pack 3, aplique o Service Pack 3 ou posterior para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao seletor de categorias de ativos do módulo Asset até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Liferay Portal, versões 7.3.5 a 7.4.0 Versões do Liferay DXP 7.3 anteriores ao Service Pack 3 **Descrição** Várias vulnerabilidades de cross-site scripting (XSS) permitem que invasores remotos injetem scripts da web ou HTML arbitrários por meio do texto de ajuda de um campo de formulário no construtor de formulários do módulo Forms ou no construtor de formulários da visualização de formulário de objeto do módulo App Builder. **Recomendações** Para as versões 7.3.5 a 7.4.0 do Liferay Portal, considere desativar o construtor de formulários no módulo Forms e o construtor de formulários da visualização de formulário de objeto no módulo App Builder até que um patch esteja disponível. Para as versões 7.3 do Liferay DXP anteriores ao Service Pack 3, considere desativar o construtor de formulários no módulo Forms e o construtor de formulários da visualização de formulário de objeto no módulo App Builder até que um patch esteja disponível. Restrinja o acesso ao texto de ajuda do campo de formulário nos módulos afetados para minimizar o risco de exploração.