CVE-2021-29045

**Nome do software vulnerável e versões afetadas:

Liferay Portal, versões 7.3.2 a 7.3.5

Liferay DXP 7.3, anterior ao pacote de correções 1

Descrição:

Existe uma vulnerabilidade de cross-site scripting (XSS) na página de administração de redirecionamento do módulo Redirect, permitindo que invasores remotos injetem scripts web ou HTML arbitrários por meio do parâmetro com liferay redirect web internal portlet RedirectPortlet destinationURL. Isso permite que invasores executem scripts maliciosos no lado do cliente.

Recomendações:

Para as versões 7.3.2 a 7.3.5 do Liferay Portal, atualize para uma versão posterior à 7.3.5 ou aplique a correção necessária.

Para o Liferay DXP 7.3 antes do fix pack 1, aplique o fix pack 1 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao parâmetro com liferay redirect web internal portlet RedirectPortlet destinationURL na página de administração de redirecionamento do módulo Redirect para minimizar o risco de exploração.