Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-hv45-r2f5-fmhj

Опубликовано: 17 окт. 2023
Источник: github
Github: Прошло ревью
CVSS3: 9

Описание

Liferay Portal and Liferay DXP Vulnerable to XSS in the Wiki Widget

Stored cross-site scripting (XSS) vulnerability in the Wiki widget in Liferay Wiki Web before 7.0.95 from Liferay Portal (7.1.0 through 7.4.3.87), and Liferay DXP 7.0 fix pack 83 through 102, 7.1 fix pack 28 and earlier, 7.2 fix pack 20 and earlier, 7.3 update 33 and earlier, and 7.4 before update 88 allows remote attackers to inject arbitrary web script or HTML into a parent wiki page via a crafted payload injected into a wiki page's ‘Content’ text field.

Ссылки

Пакеты

Наименование

com.liferay:com.liferay.wiki.web

maven
Затронутые версииВерсия исправления

< 7.0.95

7.0.95

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.0.10.fp83, <= 7.0.10.fp102

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.1.0, <= 7.1.10.fp28

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.2.0, <= 7.2.10.fp20

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.3.0, < 7.3.10.u34

7.3.10.u34

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 7.4.0, < 7.4.13.u88

7.4.13.u88

EPSS

Процентиль: 37%
0.00159
Низкий

9 Critical

CVSS3

CVE ID

CVE-2023-42628

Дефекты

CWE-79

Связанные уязвимости

nvd логотип

CVE-2023-42628

CVSS3: 9
nvd
больше 2 лет назад

Stored cross-site scripting (XSS) vulnerability in the Wiki widget in Liferay Portal 7.1.0 through 7.4.3.87, and Liferay DXP 7.0 fix pack 83 through 102, 7.1 fix pack 28 and earlier, 7.2 fix pack 20 and earlier, 7.3 update 33 and earlier, and 7.4 before update 88 allows remote attackers to inject arbitrary web script or HTML into a parent wiki page via a crafted payload injected into a wiki page's ‘Content’ text field.

EPSS

Процентиль: 37%
0.00159
Низкий

9 Critical

CVSS3

CVE ID

CVE-2023-42628

Дефекты

CWE-79