Jakub Zoczek

**Nome do software vulnerável e versões afetadas** Liferay Portal, versões 7.4.3.4 a 7.4.3.8 Liferay DXP 7.4, anterior à atualização 5 **Descrição** O problema diz respeito ao módulo Remote App, que não verifica se a origem das mensagens de evento recebidas corresponde à origem do Remote App. Isso permite que invasores possam extrair o token CSRF enviando uma mensagem de evento maliciosa. **Recomendações** Para as versões 7.4.3.4 a 7.4.3.8 do Liferay Portal, atualize para uma versão fora desse intervalo para resolver o problema. Para o Liferay DXP 7.4 antes da atualização 5, aplique a atualização 5 ou posterior para corrigir o problema.