PT-2022-26256 · Liferay · Liferay Portal+1
Publicado
2022-11-15
·
Atualizado
2022-11-17
·
CVE-2022-42111
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.2.1 a 7.4.2
Liferay DXP, versões 7.2 anteriores ao Fix Pack 19
Liferay DXP, versões 7.3 anteriores à atualização 4
Descrição
Uma vulnerabilidade de script entre sites (XSS) na notificação de usuário do módulo de compartilhamento permite que invasores remotos injetem scripts da web ou HTML arbitrários ao compartilhar um recurso com uma carga maliciosa.
Recomendações
Para as versões 7.2.1 a 7.4.2 do Liferay Portal, atualize para uma versão fora desse intervalo para resolver o problema.
Para a versão 7.2 do Liferay DXP, aplique o fix pack 19 ou posterior para resolver o problema.
Para a versão 7.3 do Liferay DXP, aplique a atualização 4 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o uso do recurso de notificação de usuário do módulo Sharing até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal