CVE-2024-25609

Liferay Portal, versões 7.2.0 a 7.4.3.12

Liferay DXP 7.4, anterior à atualização 9

Liferay DXP 7.3, Service Pack 3

Liferay DXP 7.2, Fix Pack 15 a 18

A vulnerabilidade permite que invasores remotos redirecionem usuários para URLs externas arbitrárias por meio de determinados parâmetros, incluindo o parâmetro redirect e o parâmetro FORWARD URL, contornando a função HtmlUtil.escapeRedirect com o uso de duas barras. Isso é resultado de uma correção incompleta.

Para as versões do Liferay Portal 7.2.0 a 7.4.3.12, atualize para uma versão que inclua a correção completa para este problema.

Para o Liferay DXP 7.4, aplique a atualização 9 ou posterior.

Para o Liferay DXP 7.3, aplique o Service Pack 3 ou posterior.

Para o Liferay DXP 7.2, aplique o Fix Pack 19 ou posterior, pois os Fix Packs 15 a 18 estão afetados.

Como solução alternativa temporária, considere restringir o uso dos parâmetros redirect e FORWARD URL até que um patch esteja disponível.