PT-2025-31868 · Liferay · Liferay+2
Gareth Catterall
·
Publicado
2025-08-04
·
Atualizado
2025-12-15
·
CVE-2025-4599
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Liferay Portal 7.4.3.61 até 7.4.3.132
Versões do Liferay DXP 2024.Q1.1 até 2024.Q1.13
Versões do Liferay DXP 2024.Q2.0 até 2024.Q2.13
Versões do Liferay DXP 2024.Q3.1 até 2024.Q3.13
Versões do Liferay DXP 2024.Q4.1 até 2024.Q4.5
Versões do Liferay 7.4 atualização 61 até atualização 92
Descrição
A funcionalidade de visualização de fragmentos está suscetível a Cross-Site Scripting (XSS) baseado em postMessage. Um atacante remoto e não autenticado pode injetar JavaScript na URL do portlet de fragmentos.
Recomendações
Versões do Liferay Portal 7.4.3.61 até 7.4.3.132: Atualize para uma versão posterior a 7.4.3.132.
Versões do Liferay DXP 2024.Q1.1 até 2024.Q1.13: Atualize para uma versão posterior a 2024.Q1.13.
Versões do Liferay DXP 2024.Q2.0 até 2024.Q2.13: Atualize para uma versão posterior a 2024.Q2.13.
Versões do Liferay DXP 2024.Q3.1 até 2024.Q3.13: Atualize para uma versão posterior a 2024.Q3.13.
Versões do Liferay DXP 2024.Q4.1 até 2024.Q4.5: Atualize para uma versão posterior a 2024.Q4.5.
Versões do Liferay 7.4 atualização 61 até atualização 92: Atualize para uma versão posterior à atualização 92.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay
Liferay Dxp
Liferay Portal