José Ricardo

**Nome do Software Vulnerável e Versões Afetadas** Liferay Portal versões 7.4.0 até 7.4.3.132 Liferay DXP versões 2025.Q1.0 até 2025.Q1.5 Liferay DXP versões 2024.Q4.0 até 2024.Q4.7 Liferay DXP versões 2024.Q3.1 até 2024.Q3.13 Liferay DXP versões 2024.Q2.0 até 2024.Q2.13 Liferay DXP versões 2024.Q1.1 até 2024.Q1.15 Liferay Portal 7.4 GA até a atualização 92 **Descrição** O problema consiste em uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) em templates FreeMarker. Isso permite que editores de templates contornem validações de acesso por meio de URLs manipuladas. **Recomendações** Atualize o Liferay Portal para uma versão posterior a 7.4.3.132. Atualize o Liferay DXP para uma versão posterior a 2025.Q1.5. Atualize o Liferay DXP para uma versão posterior a 2024.Q4.7. Atualize o Liferay DXP para uma versão posterior a 2024.Q3.13. Atualize o Liferay DXP para uma versão posterior a 2024.Q2.13. Atualize o Liferay DXP para uma versão posterior a 2024.Q1.15. Atualize o Liferay Portal para uma versão posterior à atualização 92.

**Nome do software vulnerável e versões afetadas** Versões do plugin Rock Convert para WordPress anteriores à 2.11.0 **Descrição** O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido. Ele ocorre quando um widget específico está presente em uma página e uma URL não é devidamente sanitizada e escapada antes de ser exibida em um atributo. **Recomendações** Para versões anteriores à 2.11.0, atualize para a versão 2.11.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do plugin Rock Convert para WordPress anteriores à 2.11.0 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem ataques de Stored Cross-Site Scripting. Isso é possível porque algumas configurações não são devidamente sanitizadas e escapadas, e essa vulnerabilidade pode ser explorada mesmo quando a capacidade unfiltered html está desativada, por exemplo, em uma configuração multisite. **Recomendações** Para versões anteriores à 2.11.0, atualize para a versão 2.11.0 ou posterior para resolver o problema. Como solução temporária, considere restringir a capacidade de usuários com privilégios elevados de acessar e modificar as configurações do plugin até que a atualização possa ser aplicada.