PT-2020-19856 · Liferay · Liferay Portal
Casey Erdmann
·
Publicado
2020-01-28
·
Atualizado
2022-05-24
·
CVE-2020-7934
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Liferay Portal CE, versões 7.1.0 a 7.2.1 GA2
Descrição
Os campos “Nome”, “Nome do meio” e “Sobrenome” das contas de usuário no MyAccountPortlet estão vulneráveis a uma falha de XSS persistente. Qualquer usuário pode modificar esses campos com uma carga de XSS específica, e ela será armazenada no banco de dados. A carga será então renderizada quando um usuário utilizar o recurso de pesquisa para procurar outros usuários, especificamente se um usuário com campos modificados aparecer nos resultados da pesquisa.
Recomendações
Para as versões 7.1.0 a 7.2.1 GA2, atualize para o Liferay Portal CE versão 7.3.0 GA1 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao MyAccountPortlet ou desativar o recurso de pesquisa até que um patch esteja disponível.
Evite usar os campos
First Name, Middle Name e Last Name no MyAccountPortlet até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Portal