PT-2024-21031 · Liferay · Liferay Portal+1
Publicado
2024-02-20
·
Atualizado
2024-02-22
·
CVE-2024-25602
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Liferay Portal 7.2.0 a 7.4.2
Liferay DXP 7.3 anterior ao Service Pack 3
Liferay DXP 7.2 anterior ao Fix Pack 17
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada na página de edição de usuários do módulo Users Admin, permitindo que usuários remotos autenticados injetem scripts web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo de texto
Name de uma organização.Recomendações
Para as versões 7.2.0 a 7.4.2 do Liferay Portal, atualize para uma versão fora desse intervalo ou aplique a correção necessária.
Para o Liferay DXP 7.3, aplique o Service Pack 3 ou posterior.
Para o Liferay DXP 7.2, aplique o Fix Pack 17 ou posterior.
Como solução alternativa temporária, considere restringir o acesso à página de edição de usuários do módulo Administração de Usuários para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal