PT-2025-41264 · Liferay · Liferay Portal+1
Foobar7
·
Publicado
2025-10-08
·
Atualizado
2025-10-08
·
CVE-2025-43829
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Liferay Portal 7.4.3.18 até 7.4.3.111
Versões do Liferay DXP 2023.Q4.0 até 2023.Q4.5
Versões do Liferay DXP 2023.Q3.1 até 2023.Q3.8
Versão do Liferay Portal 7.4 update 18 até update 92
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado em produtos do tipo diagrama dentro do Commerce no Liferay Portal e DXP. Isso permite que atacantes remotos injetem scripts web ou código HTML arbitrários por meio de um payload especialmente criado dentro de um arquivo SVG. A vulnerabilidade afeta componentes de diagrama SVG.
Recomendações
Atualize o Liferay Portal para uma versão posterior à 7.4.3.111.
Atualize o Liferay DXP para uma versão posterior à 2023.Q4.5.
Atualize o Liferay DXP para uma versão posterior à 2023.Q3.8.
Atualize o Liferay Portal para uma versão posterior à update 92.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal