Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-11993)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
17/12/2024
Última modificación:
28/03/2025

Descripción

La vulnerabilidad de cross-site scripting (XSS) reflejado en Liferay Portal 7.1.0 a 7.4.3.38 y Liferay DXP 7.4 GA a la actualización 38, 7.3 GA a la actualización 36, 7.2 GA a la actualización 20 y 7.1 GA a la actualización 28 permite a atacantes remotos ejecutar secuencias de comandos web o HTML arbitrarios a través del campo de nombre de Dispatch

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:liferay:liferay_portal:*:*:*:*:*:*:*:* 7.1.0 (incluyendo) 7.4.3.39 (excluyendo)
cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:* 7.1 (incluyendo) 7.4 (excluyendo)
cpe:2.3:a:liferay:digital_experience_platform:7.4:-:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.4:update1:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.4:update10:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.4:update11:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.4:update12:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.4:update13:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.4:update14:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.4:update15:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.4:update16:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.4:update17:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.4:update18:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.4:update19:*:*:*:*:*:*
cpe:2.3:a:liferay:digital_experience_platform:7.4:update2:*:*:*:*:*:*