PT-2025-41559 · Liferay · Liferay Portal+1
Foobar7
·
Publicado
2025-10-10
·
Atualizado
2025-10-13
·
CVE-2025-62237
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Liferay Portal 7.4.3.8 a 7.4.3.111
Versões do Liferay DXP 2023.Q3.1 a 2023.Q3.8
Versões do Liferay DXP 2023.Q4.0 a 2023.Q4.5
Versões do Liferay Portal 7.4 atualização 8 a atualização 92
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado na página de visualização de pedidos do Commerce no software afetado. Isso permite que um atacante remoto injete scripts web arbitrários ou código HTML ao fornecer um payload manipulado no campo de texto "Name" de uma Conta. O código injetado pode então ser executado quando outros usuários visualizam a página de pedidos.
Recomendações
Deve-se utilizar a versão 7.4.3.112 ou posterior do Liferay Portal.
Deve-se utilizar a versão 2023.Q3.9 ou posterior do Liferay DXP.
Deve-se utilizar a versão 2023.Q4.6 ou posterior do Liferay DXP.
Deve-se utilizar a atualização 93 ou posterior do Liferay Portal.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal