Liferay

**Nome do software vulnerável e versões afetadas** Liferay Portal, versões 7.1.0 a 7.4.3.38 Liferay DXP, versões 7.4 GA a update 38 Liferay DXP, versões 7.3 GA a update 36 Versões do Liferay DXP 7.2 GA até o fix pack 20 Versões do Liferay DXP 7.1 GA até o fix pack 28 **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) refletido permite que invasores remotos executem scripts web ou HTML arbitrários por meio do campo “Nome do envio”. Isso possibilita a execução de scripts maliciosos, podendo levar a ações não autorizadas no sistema afetado. **Recomendações** Para as versões do Liferay Portal 7.1.0 até 7.4.3.38, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões do Liferay DXP 7.4 GA até a atualização 38, aplique a atualização 39 ou posterior. Para as versões do Liferay DXP 7.3 GA até a atualização 36, aplique a atualização 37 ou posterior. Para as versões do Liferay DXP 7.2 GA até o fix pack 20, aplique o fix pack 21 ou posterior. Para as versões do Liferay DXP 7.1 GA até o fix pack 28, aplique o fix pack 29 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao campo “Nome do despacho” até que um patch esteja disponível.