PT-2024-12863 · Liferay · Liferay Portal+1
Amin Achour
·
Publicado
2024-02-20
·
Atualizado
2024-02-22
·
CVE-2023-40191
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.4.3.44 a 7.4.3.97
Liferay DXP 2023.Q3 antes do patch 6
Liferay DXP, versões 7.4, atualizações 44 a 92
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) refletido nas configurações de instância para Contas, permitindo que invasores remotos injetem scripts web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo de texto
Domínios de e-mail bloqueados. Isso permite que invasores executem scripts maliciosos no navegador da vítima.Recomendações
Para as versões do Liferay Portal 7.4.3.44 a 7.4.3.97, atualize para uma versão fora desse intervalo para resolver o problema.
Para o Liferay DXP 2023.Q3, aplique o patch 6 ou posterior para corrigir a vulnerabilidade.
Para as versões 7.4 update 44 a 92 do Liferay DXP, atualize para uma versão fora desse intervalo ou aplique o patch necessário para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao campo de texto
Domínios de e-mail bloqueados nas configurações de instância para Contas até que um patch esteja disponível.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal