PT-2024-20786 · Liferay · Liferay Portal+1
Publicado
2024-02-20
·
Atualizado
2024-02-22
·
CVE-2024-25152
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Liferay Portal 7.2.0 a 7.4.2
Versões do Liferay DXP 7.3 anteriores ao Service Pack 3
Versões do Liferay DXP 7.2 anteriores ao Fix Pack 17
Descrição
Uma vulnerabilidade de cross-site scripting (XSS) armazenada no widget Message Board permite que usuários remotos autenticados injetem scripts web ou HTML arbitrários por meio do nome de arquivo de um anexo. Isso pode afetar potencialmente um grande número de dispositivos em todo o mundo, embora o número exato não tenha sido especificado.
Recomendações
Para as versões 7.2.0 a 7.4.2 do Liferay Portal, atualize para uma versão que inclua a correção para esta vulnerabilidade.
Para as versões 7.3 do Liferay DXP anteriores ao Service Pack 3, aplique o Service Pack 3 para resolver a vulnerabilidade.
Para as versões 7.2 do Liferay DXP anteriores ao Fix Pack 17, aplique o Fix Pack 17 para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso ao widget Message Board até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal