PT-2024-20778 · Liferay · Liferay Portal+1
Publicado
2024-02-07
·
Atualizado
2024-02-15
·
CVE-2024-25145
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Liferay Portal, versões 7.2.0 a 7.4.3.11
Liferay DXP 7.4, anterior à atualização 8
Liferay DXP 7.3, anterior à atualização 4
Liferay DXP 7.2, anterior ao pacote de correções 17
Versões antigas não suportadas do Liferay Portal
Versões antigas não suportadas do Liferay DXP
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) armazenada no aplicativo Search Result do módulo Portal Search permite que usuários remotos autenticados injetem scripts web ou HTML arbitrários nos resultados de pesquisa do aplicativo Search Result, caso o destaque esteja desativado, ao adicionar qualquer conteúdo pesquisável ao aplicativo.
Recomendações
Para as versões 7.2.0 a 7.4.3.11 do Liferay Portal, atualize para uma versão que inclua a correção para esta vulnerabilidade.
Para o Liferay DXP 7.4 antes da atualização 8, aplique a atualização 8 para resolver a vulnerabilidade.
Para o Liferay DXP 7.3 antes da atualização 4, aplique a atualização 4 para resolver a vulnerabilidade.
Para o Liferay DXP 7.2 anterior ao fix pack 17, aplique o fix pack 17 para resolver o problema.
Para versões mais antigas e sem suporte do Liferay Portal e do Liferay DXP, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal