PT-2024-17388 · Liferay · Liferay Portal+1
Liferay
+1
·
Publicado
2024-12-17
·
Atualizado
2024-12-18
·
CVE-2024-11993
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.1.0 a 7.4.3.38
Liferay DXP, versões 7.4 GA a update 38
Liferay DXP, versões 7.3 GA a update 36
Versões do Liferay DXP 7.2 GA até o fix pack 20
Versões do Liferay DXP 7.1 GA até o fix pack 28
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) refletido permite que invasores remotos executem scripts web ou HTML arbitrários por meio do campo “Nome do envio”. Isso possibilita a execução de scripts maliciosos, podendo levar a ações não autorizadas no sistema afetado.
Recomendações
Para as versões do Liferay Portal 7.1.0 até 7.4.3.38, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do Liferay DXP 7.4 GA até a atualização 38, aplique a atualização 39 ou posterior.
Para as versões do Liferay DXP 7.3 GA até a atualização 36, aplique a atualização 37 ou posterior.
Para as versões do Liferay DXP 7.2 GA até o fix pack 20, aplique o fix pack 21 ou posterior.
Para as versões do Liferay DXP 7.1 GA até o fix pack 28, aplique o fix pack 29 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao campo “Nome do despacho” até que um patch esteja disponível.
Correção
RCE
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal