exploitDog

GHSA-222w-xmc5-jhp3

Опубликовано: 12 авг. 2025

Источник: github

Github: Прошло ревью

CVSS4: 6.9

Описание

Liferay Portal and Liferay DXP have a reflected cross-site scripting vulnerability

A reflected cross-site scripting (XSS) vulnerability in the Liferay Portal 7.4.0 through 7.4.3.131, and Liferay DXP 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 through 2024.Q3.13, 2024.Q2.0 through 2024.Q2.13, 2024.Q1.1 through 2024.Q1.12 and 7.4 GA through update 92 allows an remote non-authenticated attacker to inject JavaScript into the google_gadget.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.portal.bom

maven

Затронутые версииВерсия исправления

>= 7.4.0, <= 7.4.3.131

7.4.3.132

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.q4.0, <= 2024.q4.7

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.q3.0, <= 2024.q3.13

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.q2.0, <= 2024.q2.13

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.q1.0, < 2024.q1.13

2024.q1.13

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

<= 7.4.13.u92

Отсутствует

Наименование

com.liferay.portal:com.liferay.portal.impl

maven

Затронутые версииВерсия исправления

>= 7.0.4, < 109.1.0

109.1.0

EPSS

Процентиль: 14%

0.00047

Низкий

6.9 Medium

CVSS4

CVE ID

Дефекты

CWE-79

Связанные уязвимости

CVE-2025-43735

nvd

2 дня назад

A reflected cross-site scripting (XSS) vulnerability in the Liferay Portal 7.4.0 through 7.4.3.131, and Liferay DXP 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 through 2024.Q3.13, 2024.Q2.0 through 2024.Q2.13, 2024.Q1.1 through 2024.Q1.12 and 7.4 GA through update 92 allows an remote non-authenticated attacker to inject JavaScript into the google_gadget.

EPSS

Процентиль: 14%

0.00047

Низкий

6.9 Medium

CVSS4

CVE ID

Дефекты

CWE-79