Foobar7

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal de 7.4.0 a 7.4.3.111 Versões do Liferay DXP de 2023.Q3.1 a 2023.Q4.10 Versões do Liferay Portal 7.3 GA até a atualização 36 Versões do Liferay DXP 7.4 GA até a atualização 92 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) no widget Blogs. O widget não inclui o atributo sandbox para elementos `<iframe>`, potencialmente permitindo que invasores acessem a página pai por meio de scripts e links dentro do frame. Isso pode ser acionado injetando um `<iframe>` manipulado no campo de texto "Content" de uma entrada de blog. **Recomendações** Atualize o Liferay Portal para uma versão posterior a 7.4.3.111. Atualize o Liferay DXP para uma versão posterior a 2023.Q4.10. Atualize o Liferay DXP para uma versão posterior a 2023.Q3.8. Atualize o Liferay Portal para uma versão posterior à atualização 92. Atualize o Liferay Portal para uma versão posterior à atualização 36.

**Name of the Vulnerable Software and Affected Versions** Liferay Portal versions 7.4.0 through 7.4.3.111 Liferay DXP versions 2023.Q3.1 through 2023.Q3.10 Liferay DXP versions 2023.Q4.0 through 2023.Q4.5 Liferay Portal 7.4 GA through update 92 **Description** An Insecure Direct Object Reference (IDOR) issue exists that allows remotely authenticated users in one virtual instance to assign an organization to a user in a different virtual instance. This is achieved through manipulation of the ` com liferay users admin web portlet UsersAdminPortlet addUserIds` parameter. **Recommendations** Update Liferay Portal to a version later than 7.4.3.111. Update Liferay DXP to a version later than 2023.Q4.5. Update Liferay DXP to a version later than 2023.Q3.10. Update Liferay Portal 7.4 to a version later than update 92.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal de 7.3.1 a 7.4.3.111 Versões do Liferay DXP de 2023.Q3.1 a 2023.Q4.5 **Descrição** Existe uma referência insegura de objeto direto (IDOR) no recurso de Publicações. Isso permite que atacantes autenticados remotamente visualizem a página de edição de uma publicação manipulando o parâmetro ` com liferay change tracking web portlet PublicationsPortlet ctCollectionId`. **Recomendações** Atualize o Liferay Portal para uma versão posterior a 7.4.3.111. Atualize o Liferay DXP para uma versão posterior a 2023.Q4.5.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal 7.4.3.4 até 7.4.3.111 Versões do Liferay DXP 2023.Q4.0 até 2023.Q4.5 Versões do Liferay DXP 2023.Q3.1 até 2023.Q3.8 Versões do Liferay Portal 7.4 GA até a atualização 92 **Descrição** Existe uma vulnerabilidade de Referência Insegura a Objeto Direto (IDOR) no Liferay Portal e DXP. Isso permite que um usuário autenticado remotamente acesse endereços de diferentes contas. O problema está relacionado ao parâmetro ` com liferay account admin web internal portlet AccountEntriesAdminPortlet addressId`. **Recomendações** Atualize o Liferay Portal para uma versão posterior a 7.4.3.111. Atualize o Liferay DXP para uma versão posterior a 2023.Q4.5. Atualize o Liferay DXP para uma versão posterior a 2023.Q3.8. Atualize o Liferay Portal para uma versão posterior à atualização 92.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay DXP de 2023.Q4.1 a 2023.Q4.5 **Descrição** Existe uma vulnerabilidade de Referência Insegura Direta a Objetos (IDOR) no Liferay DXP que permite a usuários remotos autenticados acessar endereços de entrega de diferentes instâncias virtuais. Isso ocorre através do parâmetro `commerceOrderId` no componente ` com liferay commerce order web internal portlet CommerceOrderPortlet`. **Recomendações** Atualize as versões do Liferay DXP anteriores a 2023.Q4.6.

**Name of the Vulnerable Software and Affected Versions** Liferay Portal versions 7.4.1 through 7.4.3.112 Liferay DXP versions 2023.Q3.1 through 2023.Q3.8 Liferay DXP versions 2023.Q4.0 through 2023.Q4.5 Liferay DXP 7.4 GA through update 92 **Description** An insecure direct object reference (IDOR) issue exists in the Publications feature. This allows remote authenticated attackers to view and edit publication comments via crafted URLs. The issue stems from improper user permission checks. The ` com liferay change tracking web portlet PublicationsPortlet value` parameter is involved in the vulnerability. **Recommendations** Update Liferay Portal to a version later than 7.4.3.112. Update Liferay DXP to a version later than 2023.Q4.5. Update Liferay DXP to a version later than 2023.Q3.8. Update Liferay DXP 7.4 to a version later than update 92.

**Nome do Software Vulnerável e Versões Afetadas** Liferay Portal versões 7.4.0 a 7.4.3.111 Liferay DXP versões 2023.Q3.1 a 2023.Q3.8 Liferay DXP versões 2023.Q4.0 a 2023.Q4.5 Liferay Portal 7.4 GA até a atualização 92 Versões mais antigas não suportadas do Liferay Portal e Liferay DXP **Descrição** O software contém múltiplas falhas de cross-site scripting (XSS) armazenado. Essas falhas permitem que um usuário remoto autenticado injete scripts web ou HTML arbitrários através de um payload elaborado. O payload é injetado no campo de texto do primeiro nome, nome do meio ou sobrenome de um usuário. Isso pode afetar vários widgets e aplicativos, incluindo o widget de comentários da página, comentários de entradas de blog, comentários de Documentos e Mídia, mensagens do Quadro de Avisos, comentários de páginas Wiki e outros widgets/aplicativos que suportam menções. **Recomendações** Atualize o Liferay Portal para uma versão posterior à 7.4.3.111. Atualize o Liferay DXP para uma versão posterior à 2023.Q4.5. Atualize o Liferay DXP para uma versão posterior à 2023.Q3.8. Atualize o Liferay Portal 7.4 GA para uma versão posterior à atualização 92.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal 7.4.3.8 a 7.4.3.111 Versões do Liferay DXP 2023.Q3.1 a 2023.Q3.8 Versões do Liferay DXP 2023.Q4.0 a 2023.Q4.5 Versões do Liferay Portal 7.4 atualização 8 a atualização 92 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado na página de visualização de pedidos do Commerce no software afetado. Isso permite que um atacante remoto injete scripts web arbitrários ou código HTML ao fornecer um payload manipulado no campo de texto "Name" de uma Conta. O código injetado pode então ser executado quando outros usuários visualizam a página de pedidos. **Recomendações** Deve-se utilizar a versão 7.4.3.112 ou posterior do Liferay Portal. Deve-se utilizar a versão 2023.Q3.9 ou posterior do Liferay DXP. Deve-se utilizar a versão 2023.Q4.6 ou posterior do Liferay DXP. Deve-se utilizar a atualização 93 ou posterior do Liferay Portal.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal 7.4.1 até 7.4.3.112 Versões do Liferay DXP 2023.Q3.1 até 2023.Q3.10 Versões do Liferay DXP 2023.Q4.0 até 2023.Q4.5 **Descrição** Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF). Isso permite que atacantes remotos adicionem e editem comentários de publicação. A funcionalidade afetada não requer autenticação, potencialmente permitindo ações não autorizadas. **Recomendações** Atualize o Liferay Portal para uma versão posterior à 7.4.3.112. Atualize o Liferay DXP para uma versão posterior à 2023.Q3.10. Atualize o Liferay DXP para uma versão posterior à 2023.Q4.5.

**Nome do Software Vulnerável e Versões Afetadas** Liferay Portal versões 7.4.3.21 até 7.4.3.111 Liferay DXP versões 2023.Q4.0 até 2023.Q4.5 Liferay DXP versões 2023.Q3.1 até 2023.Q3.8 Liferay versões 7.4 update 21 até update 92 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) no construtor de processos de workflow. Isso permite que atacantes remotos autenticados injetem scripts web ou HTML arbitrários por meio de entrada manipulada dentro de uma definição de workflow. **Recomendações** Atualize o Liferay Portal para uma versão posterior à 7.4.3.111. Atualize o Liferay DXP para uma versão posterior à 2023.Q4.5. Atualize o Liferay DXP para uma versão posterior à 2023.Q3.8. Atualize o Liferay para uma versão posterior à update 92.

**Nome do Software Vulnerável e Versões Afetadas** Liferay Portal versões 7.4.3.21 até 7.4.3.111 Liferay DXP versões 2023.Q3.1 até 2023.Q3.8 Liferay DXP versões 2023.Q4.0 até 2023.Q4.5 Liferay Portal versões 7.4 update 21 até update 92 **Descrição** Existe um problema de cross-site scripting (XSS) armazenado na página de Associações dentro das Configurações da Conta. Isso permite que atacantes autenticados injetem scripts web ou código HTML arbitrários por meio de um payload elaborado. O payload é injetado no campo de texto "Nome" da Conta. **Recomendações** Atualize o Liferay Portal para uma versão posterior à 7.4.3.111. Atualize o Liferay DXP para uma versão posterior à 2023.Q3.8. Atualize o Liferay DXP para uma versão posterior à 2023.Q4.5. Atualize o Liferay Portal para uma versão posterior à update 92.

**Nome do Software Vulnerável e Versões Afetadas** Liferay Portal versões 7.4.3.35 até 7.4.3.111 Liferay DXP versões 2023.Q4.0 até 2023.Q4.5 Liferay DXP versões 2023.Q3.1 até 2023.Q3.7 Liferay Portal versões 7.4 atualização 35 até atualização 92 Liferay Portal versão 7.3 atualização 25 até atualização 36 **Descrição** O software contém múltiplas vulnerabilidades de cross-site scripting (XSS) relacionadas a eventos do Calendário. Essas vulnerabilidades permitem que atacantes remotos injetem scripts web ou HTML arbitrários por meio de payloads manipulados. Os pontos de injeção são os campos de texto (1) Nome, (2) Nome do Meio e (3) Sobrenome. **Recomendações** Atualize o Liferay Portal para uma versão posterior a 7.4.3.111. Atualize o Liferay DXP para uma versão posterior a 2023.Q4.5. Atualize o Liferay DXP para uma versão posterior a 2023.Q3.7. Atualize o Liferay Portal para uma versão posterior a 7.4 atualização 92. Atualize o Liferay Portal para uma versão posterior a 7.3 atualização 36.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal de 7.3.2 até 7.4.3.111 Versões do Liferay DXP de 2023.Q3.1 até 2023.Q4.5 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado nos Formulários no software. Isso permite que atacantes remotos injetem scripts web ou HTML arbitrários através de um payload elaborado. O payload é injetado em um formulário que utiliza um campo do tipo texto rico. **Recomendações** Atualize o Liferay Portal para uma versão posterior a 7.4.3.111. Atualize o Liferay DXP para uma versão posterior a 2023.Q4.5. Atualize o Liferay DXP para uma versão posterior a 2023.Q3.8. Atualize o Liferay Portal para uma versão posterior a 7.3.35. Atualize o Liferay Portal para uma versão posterior a 7.4.92.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal 7.4.3.18 até 7.4.3.111 Versões do Liferay DXP 2023.Q4.0 até 2023.Q4.5 Versões do Liferay DXP 2023.Q3.1 até 2023.Q3.8 Versão do Liferay Portal 7.4 update 18 até update 92 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado em produtos do tipo diagrama dentro do Commerce no Liferay Portal e DXP. Isso permite que atacantes remotos injetem scripts web ou código HTML arbitrários por meio de um payload especialmente criado dentro de um arquivo SVG. A vulnerabilidade afeta componentes de diagrama SVG. **Recomendações** Atualize o Liferay Portal para uma versão posterior à 7.4.3.111. Atualize o Liferay DXP para uma versão posterior à 2023.Q4.5. Atualize o Liferay DXP para uma versão posterior à 2023.Q3.8. Atualize o Liferay Portal para uma versão posterior à update 92.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal 7.4.3.102 a 7.4.3.111 Versões do Liferay DXP 2023.Q3.1 a 2023.Q3.10 Versões do Liferay DXP 2023.Q4.0 a 2023.Q4.5 **Descrição** O widget de Notificações contém múltiplas vulnerabilidades de cross-site scripting (XSS). Estas permitem que atacantes remotos injetem scripts web ou HTML arbitrários por meio de payloads manipulados. Os pontos de injeção incluem o campo de texto `First Name`, o campo de texto `Middle Name`, o campo de texto `Last Name`, o campo de texto "Other Reason" ao sinalizar conteúdo e o nome do conteúdo sinalizado. A exploração bem-sucedida pode permitir que um atacante execute scripts maliciosos no contexto do navegador de um usuário. **Recomendações** Atualize o Liferay Portal para uma versão posterior a 7.4.3.111. Atualize o Liferay DXP para uma versão posterior a 2023.Q3.10 e 2023.Q4.5.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal de 7.4.0 a 7.4.3.111 Versões do Liferay DXP de 2023.Q3.1 a 2023.Q3.8 Versões do Liferay DXP de 2023.Q4.0 a 2023.Q4.5 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) no widget de Tabela de Comparação de Produtos do Commerce. Isso permite que atacantes remotos injetem scripts web ou HTML arbitrários por meio de um payload manipulado. O payload é injetado no campo de texto Nome do Produto do Commerce. **Recomendações** As versões do Liferay Portal de 7.4.0 a 7.4.3.111 devem ser atualizadas. As versões do Liferay DXP de 2023.Q3.1 a 2023.Q3.8 devem ser atualizadas. As versões do Liferay DXP de 2023.Q4.0 a 2023.Q4.5 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal 7.4.3.15 até 7.4.3.111 Versões do Liferay DXP 2023.Q4.0 até 2023.Q4.5 Versões do Liferay DXP 2023.Q3.1 até 2023.Q3.8 Versões do Liferay 7.4 atualização 15 até atualização 92 **Descrição** O software contém múltiplas vulnerabilidades de cross-site scripting (XSS) armazenado. Estas permitem que atacantes remotos injetem scripts web ou HTML arbitrários. A injeção ocorre por meio de um payload manipulado no campo de texto Nome dos Termos e Condições. Especificamente, a injeção tem como alvo os Termos de Pagamento e o Termo de Entrega na página de visualização do pedido. **Recomendações** Atualize o Liferay Portal para uma versão posterior à 7.4.3.111. Atualize o Liferay DXP para uma versão posterior à 2023.Q4.5. Atualize o Liferay DXP para uma versão posterior à 2023.Q3.8. Atualize o Liferay para uma versão posterior à atualização 92.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal de 7.4.0 a 7.4.3.111 Versões do Liferay DXP 2023.Q4 anteriores ao patch 6 Versões do Liferay DXP 2023.Q3 anteriores ao patch 9 Versões do Liferay Portal 7.4 GA até a atualização 92 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) no widget Commerce Search Result. Isso permite que atacantes remotos injetem scripts web ou HTML arbitrários por meio de um payload elaborado. O payload é injetado no campo de texto "Nome do Produto" do Commerce. **Recomendações** Atualize o Liferay Portal para uma versão posterior a 7.4.3.111. Aplique o patch 6 ao Liferay DXP 2023.Q4. Aplique o patch 9 ao Liferay DXP 2023.Q3. Atualize o Liferay Portal para uma versão posterior à atualização 92.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Liferay Portal 7.4.0 a 7.4.3.111 Versões do Liferay DXP 2023.Q3.1 a 2023.Q3.8 Versões do Liferay DXP 2023.Q4.0 a 2023.Q4.5 Liferay Portal 7.4 GA até a atualização 92 **Descrição** O widget de Perfil é suscetível a uma manipulação que permite que usuários remotos autenticados alterem a extensão do arquivo quando um arquivo vCard é baixado. Isso ocorre porque o widget incorpora o nome de um usuário ao cabeçalho "Content-Disposition". **Recomendações** Atualize o Liferay Portal para uma versão posterior a 7.4.3.111. Atualize o Liferay DXP para uma versão posterior a 2023.Q3.8. Atualize o Liferay DXP para uma versão posterior a 2023.Q4.5. Atualize o Liferay Portal 7.4 para uma versão posterior à atualização 92.

**Nome do Software Vulnerável e Versões Afetadas** Liferay Portal versões 7.4.0 até 7.4.3.117 Liferay DXP versões 2023.Q3.1 até 2023.Q3.10 Liferay DXP versões 2023.Q4.0 até 2023.Q4.10 Liferay DXP versões 2024.Q1.1 até 2024.Q1.5 Liferay Portal 7.4 GA até a atualização 92 Versões anteriores não suportadas **Descrição** Existe uma falha no Liferay Portal e DXP que permite que usuários autenticados remotamente acessem eventos de auditoria de uma instância virtual diferente. Isso ocorre devido a uma condição de Referência Direta a Objeto Inseguro (IDOR). A falha está relacionada ao parâmetro ` com liferay portal security audit web portlet AuditPortlet auditEventId`. **Recomendações** Atualize o Liferay Portal para uma versão posterior à 7.4.3.117. Atualize o Liferay DXP para uma versão posterior à 2024.Q1.5. Atualize o Liferay DXP para uma versão posterior à 2023.Q4.10. Atualize o Liferay DXP para uma versão posterior à 2023.Q3.10. Atualize o Liferay Portal para uma versão posterior à atualização 92.