Vulnerabilidad XSS en productos Liferay
Fecha de publicación 08/02/2024
Importancia
5 - Crítica
Recursos Afectados
- Liferay Portal, versiones desde 7.4.0 hasta 7.4.3.11;
- Liferay Portal, versiones desde 7.3.0 hasta 7.3.7;
- Liferay Portal, versiones 7.2.0 y 7.2.1;
- Liferay Portal, versiones antiguas sin soporte;
- Liferay DXP, versiones 7.4 anteriores a la actualización 8;
- Liferay DXP, versiones 7.3 anteriores a la actualización 4;
- Liferay DXP, versiones 7.2 anteriores al fix pack 17;
- Liferay DXP, versiones antiguas sin soporte.
Descripción
Liferay ha publicado un aviso para informar de una vulnerabilidad crítica de tipo Cross-Site Scripting (XSS) que afecta a varios productos.
Solución
Actualizar los productos afectados a las siguientes versiones:
- Liferay Portal 7.4.3.12;
- Liferay DXP 7.4 actualización 8;
- Liferay DXP 7.3 actualización 4;
- Liferay DXP 7.2 fix pack 17.
Detalle
Una vulnerabilidad XSS almacenada en la aplicación Search Result del módulo Portal Search en Liferay Portal y Liferay DXP, podría permitir a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios en el resultado de búsqueda de la aplicación Search Result, si el resaltado está desactivado al añadir cualquier contenido que permita búsquedas a la aplicación. Se ha asignado el identificador CVE-2024-25145 para esta vulnerabilidad.
Listado de referencias
Etiquetas
