Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-44jg-jgjx-3xg5

Опубликовано: 21 фев. 2024
Источник: github
Github: Прошло ревью
CVSS3: 9

Описание

Liferay Portal's Dynamic Data Mapping module's DDMForm and Liferay DXP vulnerable to stored Cross-site Scripting

Stored cross-site scripting (XSS) vulnerability in the Dynamic Data Mapping module's DDMForm in Liferay Portal 7.2.0 through 7.4.3.4, and older unsupported versions, and Liferay DXP 7.4.13, 7.3 before update 4, 7.2 before fix pack 17, and older unsupported versions allows remote authenticated users to inject arbitrary web script or HTML via the instanceId parameter.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.portal.bom

maven
Затронутые версииВерсия исправления

<= 7.4.3.4

7.4.3.5

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.4.13.u1, <= 7.4.13.u102

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.3.10.ep3, < 7.3.10.u4

7.3.10.u4

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.2.0, < 7.2.10.fp17

7.2.10.fp17

EPSS

Процентиль: 36%
0.00152
Низкий

9 Critical

CVSS3

CVE ID

CVE-2024-25603

Дефекты

CWE-79

Связанные уязвимости

nvd логотип

CVE-2024-25603

CVSS3: 9
nvd
почти 2 года назад

Stored cross-site scripting (XSS) vulnerability in the Dynamic Data Mapping module's DDMForm in Liferay Portal 7.2.0 through 7.4.3.4, and older unsupported versions, and Liferay DXP 7.4.13, 7.3 before update 4, 7.2 before fix pack 17, and older unsupported versions allows remote authenticated users to inject arbitrary web script or HTML via the instanceId parameter.

EPSS

Процентиль: 36%
0.00152
Низкий

9 Critical

CVSS3

CVE ID

CVE-2024-25603

Дефекты

CWE-79