PT-2022-24614 · Liferay · Liferay Digital Experience Platform
Rafal Lykowski
·
Publicado
2022-10-19
·
Atualizado
2025-05-09
·
CVE-2022-38901
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Liferay Digital Experience Platform versão 7.3.10 SP3
Descrição
Existe uma vulnerabilidade de tipo Cross-site scripting (XSS) na funcionalidade de upload de arquivos do módulo Document and Media, permitindo que invasores remotos injetem scripts JS ou HTML arbitrários no campo de descrição de arquivos SVG enviados.
Recomendações
Para a Liferay Digital Experience Platform versão 7.3.10 SP3, considere restringir o acesso à funcionalidade de upload de arquivos no módulo Document and Media até que uma correção esteja disponível e evite usar o campo de descrição para arquivos SVG enviados, a fim de minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Digital Experience Platform