PT-2022-26257 · Liferay · Liferay Portal+1
Publicado
2022-10-18
·
Atualizado
2022-10-20
·
CVE-2022-42112
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.2.0 a 7.4.3.24
Liferay DXP 7.2 antes do fix pack 19
Liferay DXP 7.3 antes da atualização 5
Liferay DXP 7.4 antes da atualização 25
Descrição
Uma vulnerabilidade de Cross-site scripting (XSS) no widget Sort do módulo Portal Search permite que invasores remotos injetem scripts web ou HTML arbitrários por meio de uma carga maliciosa.
Recomendações
Para as versões do Liferay Portal 7.2.0 a 7.4.3.24, atualize para uma versão posterior à 7.4.3.24 para resolver o problema.
Para o Liferay DXP 7.2, aplique o fix pack 19 ou posterior.
Para o Liferay DXP 7.3, aplique a atualização 5 ou posterior.
Para o Liferay DXP 7.4, aplique a atualização 25 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao widget Sort do módulo Portal Search até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal