GHSA-ccrc-5vp5-vp5j

Опубликовано: 17 сент. 2025

Источник: github

Github: Прошло ревью

CVSS4: 5.1

Описание

Liferay search widget vulnerable to Cross-site Scripting

There is a Cross-site scripting (XSS) vulnerability in Liferay Portal's Search widget . Versions 7.4.3.93 through 7.4.3.111, and Liferay DXP 2023.Q4.0, 2023.Q3.1 through 2023.Q3.4 allow remote attackers to inject arbitrary web scripts or HTML via the _com_liferay_portal_search_web_portlet_SearchPortlet_userId parameter.

Ссылки

Пакеты

Наименование

com.liferay:com.liferay.portal.search

maven

Затронутые версииВерсия исправления

< 8.0.93

8.0.93

EPSS

Процентиль: 21%

0.00067

Низкий

5.1 Medium

CVSS4

CVE ID

CVE-2025-43804

Дефекты

CWE-79

Связанные уязвимости

CVE-2025-43804

CVSS3: 6.1

nvd

5 месяцев назад

Cross-site scripting (XSS) vulnerability in Search widget in Liferay Portal 7.4.3.93 through 7.4.3.111, and Liferay DXP 2023.Q4.0, 2023.Q3.1 through 2023.Q3.4 allows remote attackers to inject arbitrary web script or HTML via the _com_liferay_portal_search_web_portlet_SearchPortlet_userId parameter.

EPSS

Процентиль: 21%

0.00067

Низкий

5.1 Medium

CVSS4

CVE ID

CVE-2025-43804

Дефекты

CWE-79