GHSA-7m65-hmvg-rxpc

Опубликовано: 23 сент. 2022

Источник: github

Github: Прошло ревью

CVSS3: 5.4

Описание

Liferay Portal and Liferay DXP Vulnerable to XSS in the Site Module

Stored cross-site scripting (XSS) vulnerability in the Site module's user membership administration page in Liferay Site Memberships Web before 5.0.10 from Liferay Portal (7.0.1 through 7.4.1), and Liferay DXP 7.0 before fix pack 102, 7.1 before fix pack 26, 7.2 before fix pack 15, and 7.3 before service pack 3 allows remote attackers to inject arbitrary web script or HTML via the a user's name.

Ссылки

Пакеты

Наименование

com.liferay:com.liferay.site.memberships.web

maven

Затронутые версииВерсия исправления

< 5.0.10

5.0.10

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.0.0, < 7.0.10.fp102

7.0.10.fp102

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.1.0, < 7.1.10.fp26

7.1.10.fp26

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.2.0, < 7.2.10.fp15

7.2.10.fp15

EPSS

Процентиль: 31%

0.0012

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2022-28978

Дефекты

CWE-79

Связанные уязвимости

CVE-2022-28978

CVSS3: 5.4

nvd

больше 3 лет назад

Stored cross-site scripting (XSS) vulnerability in the Site module's user membership administration page in Liferay Portal 7.0.1 through 7.4.1, and Liferay DXP 7.0 before fix pack 102, 7.1 before fix pack 26, 7.2 before fix pack 15, and 7.3 before service pack 3 allows remote attackers to inject arbitrary web script or HTML via the a user's name.

EPSS

Процентиль: 31%

0.0012

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2022-28978

Дефекты

CWE-79