CVE-2025-43778

Nome do Software Vulnerável e Versões Afetadas: Versões do Liferay Portal 7.4.0 a 7.4.3.132 Versões do Liferay DXP 2024.Q1.1 a 2024.Q1.20 Versões do Liferay DXP 2024.Q2.0 a 2024.Q2.13 Versões do Liferay DXP 2024.Q3.0 a 2024.Q3.13 Versões do Liferay DXP 2024.Q4.0 a 2024.Q4.7 Versões do Liferay DXP 2025.Q1.0 a 2025.Q1.16 Versões do Liferay DXP 2025.Q2.0 a 2025.Q2.11

Descrição: Existe uma vulnerabilidade de cross-site scripting armazenado no Liferay Portal e DXP através do nome de um fieldset no Kaleo Forms Admin. O payload malicioso é armazenado e executado sem sanitização ou escape adequados, permitindo que um atacante remoto autenticado injete JavaScript.

Recomendações: Versões do Liferay Portal anteriores a 7.4.3.132 Versões do Liferay DXP anteriores a 2024.Q1.1 Versões do Liferay DXP anteriores a 2024.Q2.0 Versões do Liferay DXP anteriores a 2024.Q3.0 Versões do Liferay DXP anteriores a 2024.Q4.0 Versões do Liferay DXP anteriores a 2025.Q1.0 Versões do Liferay DXP anteriores a 2025.Q2.0