PT-2025-36739 · Liferay · Liferay Portal+1
Ndix
·
Publicado
2025-09-09
·
Atualizado
2025-12-16
·
CVE-2025-43776
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Versões do Liferay Portal 7.4.0 até 7.4.3.132
Versões do Liferay DXP 2024.Q1.1 até 2024.Q1.19
Versões do Liferay DXP 2024.Q2.0 até 2024.Q2.13
Versões do Liferay DXP 2024.Q3.0 até 2024.Q3.13
Versões do Liferay DXP 2024.Q4.0 até 2024.Q4.7
Versões do Liferay DXP 2025.Q1.0 até 2025.Q1.16
Versões do Liferay DXP 2025.Q2.0 até 2025.Q2.9
Descrição:
Existe uma vulnerabilidade de cross-site scripting armazenado no Liferay Portal e no Liferay DXP. Um atacante remoto autenticado pode injetar JavaScript através do rótulo do campo de Objeto Personalizado. O payload malicioso é armazenado e executado através da aba de Configuração do Process Builder sem o escape adequado.
Recomendações:
Versões do Liferay Portal 7.4.0 até 7.4.3.132: Atualize para uma versão posterior à 7.4.3.132.
Versões do Liferay DXP 2024.Q1.1 até 2024.Q1.19: Atualize para uma versão posterior à 2024.Q1.19.
Versões do Liferay DXP 2024.Q2.0 até 2024.Q2.13: Atualize para uma versão posterior à 2024.Q2.13.
Versões do Liferay DXP 2024.Q3.0 até 2024.Q3.13: Atualize para uma versão posterior à 2024.Q3.13.
Versões do Liferay DXP 2024.Q4.0 até 2024.Q4.7: Atualize para uma versão posterior à 2024.Q4.7.
Versões do Liferay DXP 2025.Q1.0 até 2025.Q1.16: Atualize para uma versão posterior à 2025.Q1.16.
Versões do Liferay DXP 2025.Q2.0 até 2025.Q2.9: Atualize para uma versão posterior à 2025.Q2.9.
Correção
Generation of Error Message Containing Sensitive Information
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal