PT-2024-12668 · Liferay · Liferay Portal+1
Abderrahmane Bounhidja
+1
·
Publicado
2024-12-17
·
Atualizado
2024-12-19
·
CVE-2023-37940
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.0.0 a 7.4.3.87
Liferay DXP, versões 7.4 GA a 87
Liferay DXP, versões 7.3 GA a 29
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) na página de edição da Política de Acesso ao Serviço permite que invasores remotos injetem scripts da web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo de texto
Service Class da política de acesso ao serviço. Isso permite que invasores executem scripts maliciosos no navegador da vítima.Recomendações
Para as versões do Liferay Portal 7.0.0 até 7.4.3.87, atualize para a versão mais recente para mitigar o problema.
Para as versões do Liferay DXP 7.4 GA até a atualização 87, aplique os patches recomendados e atualize para a versão mais recente.
Para as versões do Liferay DXP 7.3 GA até a atualização 29, aplique os patches recomendados e atualize para a versão mais recente.
Como solução alternativa temporária, considere restringir o acesso à página de edição da Política de Acesso ao Serviço até que um patch esteja disponível.
Evite usar o campo de texto
Service Class no endpoint da API afetado até que o problema seja resolvido.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal