PT-2024-20780 · Liferay · Liferay Portal+1
Publicado
2024-02-20
·
Atualizado
2024-02-22
·
CVE-2024-25147
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Liferay Portal de 7.2.0 a 7.4.1
Versões do Liferay DXP 7.3 anteriores ao Service Pack 3
Versões do Liferay DXP 7.2 anteriores ao Fix Pack 15
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) na função HtmlUtil.escapeJsLink, permitindo que invasores remotos injetem scripts web ou HTML arbitrários por meio de links do tipo javascript: criados especificamente para esse fim. Isso pode ser explorado pela injeção de código malicioso nos links do tipo
javascript:, afetando potencialmente a segurança do aplicativo.Recomendações
Para as versões 7.2.0 a 7.4.1 do Liferay Portal, atualize para uma versão que inclua a correção para a função HtmlUtil.escapeJsLink.
Para as versões 7.3 do Liferay DXP anteriores ao Service Pack 3, aplique o Service Pack 3 para resolver o problema.
Para as versões 7.2 do Liferay DXP anteriores ao fix pack 15, aplique o fix pack 15 para mitigar a vulnerabilidade.
Como solução alternativa temporária, considere restringir o acesso à função HtmlUtil.escapeJsLink até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal