PT-2024-21030 · Liferay · Liferay Portal+1
Publicado
2024-02-20
·
Atualizado
2024-02-22
·
CVE-2024-25601
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Liferay Portal de 7.2.0 a 7.4.2
Versões do Liferay DXP 7.3 anteriores ao Service Pack 3
Versões do Liferay DXP 7.2 anteriores ao Fix Pack 17
Versões antigas e sem suporte do Liferay Portal
Versões antigas e sem suporte do Liferay DXP
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada nos campos personalizados de geolocalização do módulo Expando. Isso permite que usuários remotos autenticados injetem scripts da web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo de texto
name de um campo personalizado de geolocalização.Recomendações
Para as versões 7.2.0 a 7.4.2 do Liferay Portal, atualize para uma versão que inclua a correção para esta vulnerabilidade.
Para as versões 7.3 do Liferay DXP anteriores ao Service Pack 3, aplique o Service Pack 3 ou posterior.
Para as versões 7.2 do Liferay DXP anteriores ao Fix Pack 17, aplique o Fix Pack 17 ou posterior.
Para versões mais antigas e sem suporte do Liferay Portal e do Liferay DXP, considere atualizar para uma versão com suporte que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso aos campos personalizados de geolocalização do módulo Expando até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal