GHSA-54pv-r62j-9qqc

Опубликовано: 21 фев. 2024

Источник: github

Github: Прошло ревью

CVSS3: 9.6

Описание

Liferay Portal and Liferay DXP vulnerable to reflected Cross-site Scripting

Reflected cross-site scripting (XSS) vulnerability on the add assignees to a role page in Liferay Portal 7.3.3 through 7.4.3.97, and Liferay DXP 2023.Q3 before patch 6, 7.4 GA through update 92, and 7.3 before update 34 allows remote attackers to inject arbitrary web script or HTML via the _com_liferay_roles_admin_web_portlet_RolesAdminPortlet_tabs2 parameter.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.portal.bom

maven

Затронутые версииВерсия исправления

>= 7.3.3, <= 7.4.3.97

7.4.3.98

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.4.10.ep1, <= 7.4.13.u92

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.3.10.ep3, < 7.3.10.u34

7.3.10.u34

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2023.Q3, < 2023.Q3.6

2023.Q3.6

EPSS

Процентиль: 59%

0.00377

Низкий

9.6 Critical

CVSS3

CVE ID

CVE-2023-42496

Дефекты

CWE-79

Связанные уязвимости

CVE-2023-42496

CVSS3: 9.6

nvd

почти 2 года назад

Reflected cross-site scripting (XSS) vulnerability on the add assignees to a role page in Liferay Portal 7.3.3 through 7.4.3.97, and Liferay DXP 2023.Q3 before patch 6, 7.4 GA through update 92, and 7.3 before update 34 allows remote attackers to inject arbitrary web script or HTML via the _com_liferay_roles_admin_web_portlet_RolesAdminPortlet_tabs2 parameter.

EPSS

Процентиль: 59%

0.00377

Низкий

9.6 Critical

CVSS3

CVE ID

CVE-2023-42496

Дефекты

CWE-79