exploitDog

GHSA-66x6-8jgv-qpfh

Опубликовано: 10 сент. 2025

Источник: github

Github: Прошло ревью

CVSS4: 4.6

Описание

Liferay Portal and Liferay DXP vulnerable to Stored Cross-site Scripting

A stored cross-site scripting (XSS) vulnerability in Liferay Portal 7.4.3.45 through 7.4.3.128, and Liferay DXP 2024 Q2.0 through 2024.Q2.9, 2024.Q1.1 through 2024.Q1.12, and 7.4 update 45 through update 92 allows remote attackers to execute an arbitrary web script or HTML in the My Workflow Tasks page.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.portal.bom

maven

Затронутые версииВерсия исправления

>= 7.4.3.45, < 7.4.3.129

7.4.3.129

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.Q2.0, <= 2024.Q2.13

2024.Q3.0

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.Q1.1, <= 2024.Q1.12

2024.Q1.13

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.4.13.u14, <= 7.4.13.u92

Отсутствует

Наименование

com.liferay:com.liferay.portal.workflow.task.web

maven

Затронутые версииВерсия исправления

< 5.0.75

5.0.75

EPSS

Процентиль: 6%

0.00024

Низкий

4.6 Medium

CVSS4

CVE ID

Дефекты

CWE-79

Связанные уязвимости

CVE-2025-43785

CVSS3: 6.1

nvd

5 месяцев назад

Stored cross-site scripting (XSS) vulnerability in Liferay Portal 7.4.3.45 through 7.4.3.128, and Liferay DXP 2024 Q2.0 through 2024.Q2.9, 2024.Q1.1 through 2024.Q1.12, and 7.4 update 45 through update 92 allows remote attackers to execute an arbitrary web script or HTML in the My Workflow Tasks page.

EPSS

Процентиль: 6%

0.00024

Низкий

4.6 Medium

CVSS4

CVE ID

Дефекты

CWE-79