PT-2021-20117 · Liferay · Liferay Portal+1
Publicado
2021-08-04
·
Atualizado
2022-05-24
·
CVE-2021-33336
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.3.0 a 7.3.3
Liferay DXP 7.1, pacote de correções 18
Liferay DXP 7.2, pacotes de correções 5 a 7
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) no menu “Adicionar artigo” do módulo Journal, permitindo que invasores remotos injetem scripts web ou HTML arbitrários por meio do parâmetro
com liferay journal web portlet JournalPortlet name. Isso permite que invasores executem scripts maliciosos no lado do cliente.Recomendações
Para as versões 7.3.0 a 7.3.3 do Liferay Portal, atualize para uma versão fora desse intervalo para resolver o problema.
Para o Liferay DXP 7.1 fix pack 18, considere atualizar para um fix pack mais recente para mitigar o risco.
Para o Liferay DXP 7.2 fix pack 5 a 7, restrinja o acesso ao menu “Adicionar artigo” do módulo Journal até que um patch esteja disponível.
Como solução alternativa temporária, considere desativar o parâmetro
com liferay journal web portlet JournalPortlet name para minimizar o risco de exploração.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal