PT-2025-39228 · Liferay · Liferay Portal+1
Ndix
·
Publicado
2025-09-24
·
Atualizado
2025-12-15
·
CVE-2025-43779
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Liferay Portal 7.4.0 até 7.4.3.112
Versões do Liferay DXP 2024.Q1.1 até 2024.Q1.18
Versões do Liferay DXP 7.4 GA até a atualização 92
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) refletido que permite a um atacante remoto autenticado injetar código JavaScript. A injeção ocorre por meio do parâmetro
com liferay commerce product definitions web internal portlet CPDefinitionsPortlet productTypeName. Este código malicioso é então refletido e executado no navegador do usuário.Recomendações
Atualize o Liferay Portal para uma versão posterior à 7.4.3.112.
Atualize o Liferay DXP para uma versão posterior à 2024.Q1.18.
Atualize o Liferay DXP para uma versão posterior à atualização 92.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal