PT-2022-17947 · Liferay · Liferay Portal+1
Duy Huynh
·
Publicado
2022-04-15
·
Atualizado
2022-04-22
·
CVE-2022-26594
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.3.5 a 7.4.0
Versões do Liferay DXP 7.3 anteriores ao Service Pack 3
Descrição
Várias vulnerabilidades de cross-site scripting (XSS) permitem que invasores remotos injetem scripts da web ou HTML arbitrários por meio do texto de ajuda de um campo de formulário no construtor de formulários do módulo Forms ou no construtor de formulários da visualização de formulário de objeto do módulo App Builder.
Recomendações
Para as versões 7.3.5 a 7.4.0 do Liferay Portal, considere desativar o construtor de formulários no módulo Forms e o construtor de formulários da visualização de formulário de objeto no módulo App Builder até que um patch esteja disponível.
Para as versões 7.3 do Liferay DXP anteriores ao Service Pack 3, considere desativar o construtor de formulários no módulo Forms e o construtor de formulários da visualização de formulário de objeto no módulo App Builder até que um patch esteja disponível.
Restrinja o acesso ao texto de ajuda do campo de formulário nos módulos afetados para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal