PT-2022-26255 · Liferay · Liferay Portal+1

Publicado

2022-11-14

Atualizado

2022-11-17

CVE-2022-42110

CVSS v3.1

6.1

Média

Vetor

AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Nome do software vulnerável e versões afetadas

Liferay Portal, versões 7.1.0 a 7.4.2

Liferay DXP, versões 7.1 anteriores ao Fix Pack 27

Liferay DXP, versões 7.2 anteriores ao Fix Pack 17

Liferay DXP, versões 7.3 anteriores ao Service Pack 3

Descrição

Uma vulnerabilidade de Cross-site scripting (XSS) no módulo Anúncios permite que invasores remotos injetem scripts da web ou HTML arbitrários.

Recomendações

Para as versões 7.1.0 a 7.4.2 do Liferay Portal, atualize para uma versão fora desse intervalo para resolver o problema.

Para a versão 7.1 do Liferay DXP, aplique o fix pack 27 ou posterior.

Para a versão 7.2 do Liferay DXP, aplique o fix pack 17 ou posterior.

Para a versão 7.3 do Liferay DXP, aplique o service pack 3 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao módulo Anúncios até que um patch esteja disponível.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

CVE-2022-42110

GHSA-2QWM-9MG5-JWQ8

Liferay Dxp

Liferay Portal