PT-2021-20107 · Liferay · Liferay Portal+1
Publicado
2021-08-03
·
Atualizado
2022-05-24
·
CVE-2021-33326
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Liferay Portal versões 7.3.4 e anteriores
Liferay DXP 7.0 antes do fix pack 96
Liferay DXP 7.1 antes do fix pack 20
Liferay DXP 7.2 antes do fix pack 9
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) no módulo Frontend JS permite que invasores remotos injetem scripts web ou HTML arbitrários por meio do título de uma janela modal. Isso permite que invasores executem scripts maliciosos no lado do cliente.
Recomendações
Para as versões 7.3.4 e anteriores do Liferay Portal, atualize para uma versão posterior à 7.3.4.
Para o Liferay DXP 7.0, aplique o fix pack 96 ou posterior.
Para o Liferay DXP 7.1, aplique o fix pack 20 ou posterior.
Para o Liferay DXP 7.2, aplique o fix pack 9 ou posterior.
Como solução alternativa temporária, considere restringir a entrada do usuário para títulos de janelas modais a fim de minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal