Erwin Krazek

**Nome do software vulnerável e versões afetadas** Liferay Portal, versões 7.4.3.18 a 7.4.3.101 Liferay DXP 2023.Q3 antes do patch 6 Liferay DXP 7.4, atualizações 18 a 92 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada no widget Document and Media, permitindo que usuários remotos autenticados injetem scripts web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo de texto `Title` de um documento. **Recomendações** Para as versões do Liferay Portal 7.4.3.18 a 7.4.3.101, atualize para uma versão fora desse intervalo para resolver o problema. Para o Liferay DXP 2023.Q3, aplique o patch 6 ou posterior para corrigir a vulnerabilidade. Para o Liferay DXP 7.4, atualizações 18 a 92, atualize para uma versão fora desse intervalo ou aplique o patch necessário para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao widget Documentos e Mídia até que um patch esteja disponível.