PT-2024-13495 · Liferay · Liferay Portal+1
Erwin Krazek
·
Publicado
2024-02-21
·
Atualizado
2024-02-22
·
CVE-2023-47795
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.4.3.18 a 7.4.3.101
Liferay DXP 2023.Q3 antes do patch 6
Liferay DXP 7.4, atualizações 18 a 92
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada no widget Document and Media, permitindo que usuários remotos autenticados injetem scripts web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo de texto
Title de um documento.Recomendações
Para as versões do Liferay Portal 7.4.3.18 a 7.4.3.101, atualize para uma versão fora desse intervalo para resolver o problema.
Para o Liferay DXP 2023.Q3, aplique o patch 6 ou posterior para corrigir a vulnerabilidade.
Para o Liferay DXP 7.4, atualizações 18 a 92, atualize para uma versão fora desse intervalo ou aplique o patch necessário para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao widget Documentos e Mídia até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal