CVE-2023-42498

Liferay Portal, versões 7.4.3.8 a 7.4.3.97

Liferay DXP 2023.Q3 antes do patch 5

Liferay DXP, versões 7.4, atualização 4 a 92

Existe uma vulnerabilidade de cross-site scripting (XSS) refletido na tela de edição de substituição de idioma, permitindo que invasores remotos injetem scripts da web ou HTML arbitrários por meio do parâmetro com liferay portal language override web internal portlet PLOPortlet key. Isso permite que invasores executem código malicioso no navegador da vítima.

Para as versões 7.4.3.8 a 7.4.3.97 do Liferay Portal, atualize para uma versão fora desse intervalo para resolver o problema.

Para o Liferay DXP 2023.Q3, aplique o patch 5 para corrigir a vulnerabilidade.

Para as versões 7.4 update 4 a 92 do Liferay DXP, atualize para uma versão fora desse intervalo ou aplique o patch necessário para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso à tela de edição de Substituição de Idioma até que um patch esteja disponível. Evite usar o parâmetro com liferay portal language override web internal portlet PLOPortlet key no endpoint da API afetado até que o problema seja resolvido.