exploitDog

GHSA-m5c7-5gv3-hcpf

Опубликовано: 12 авг. 2025

Источник: github

Github: Прошло ревью

CVSS4: 5.1

Описание

Liferay Portal 7.4.0 and Liferay DXP have a reflected cross-site scripting (XSS) vulnerability

A reflected cross-site scripting (XSS) vulnerability in the Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.10, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 through 2024.Q3.13, 2024.Q2.1 through 2024.Q2.13, 2024.Q1.1 through 2024.Q1.16 and 7.4 GA through update 92 allows a remote authenticated attacker to inject JavaScript code in the “first display label” field in the configuration of a custom sort widget. This malicious payload is then reflected and executed by clay button taglib when refreshing the page.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.portal.bom

maven

Затронутые версииВерсия исправления

>= 7.4.0, <= 7.4.3.132

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.q4.0, <= 2024.q4.7

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.q3.0, <= 2024.q3.13

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.q2.0, <= 2024.q2.13

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.q1.0, <= 2024.q1.16

2024.q1.17

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2025.q1.0, <= 2025.q1.10

2025.q1.11

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

<= 7.4.13.u92

Отсутствует

Наименование

com.liferay:com.liferay.frontend.taglib.clay

maven

Затронутые версииВерсия исправления

< 15.2.2

15.2.2

EPSS

Процентиль: 7%

0.00027

Низкий

5.1 Medium

CVSS4

CVE ID

Дефекты

CWE-79

Связанные уязвимости

CVE-2025-43734

CVSS3: 5.4

nvd

6 месяцев назад

A reflected cross-site scripting (XSS) vulnerability in the Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.10, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 through 2024.Q3.13, 2024.Q2.1 through 2024.Q2.13, 2024.Q1.1 through 2024.Q1.16 and 7.4 GA through update 92 allows a remote authenticated attacker to inject JavaScript code in the “first display label” field in the configuration of a custom sort widget. This malicious payload is then reflected and executed by clay button taglib when refreshing the page.

EPSS

Процентиль: 7%

0.00027

Низкий

5.1 Medium

CVSS4

CVE ID

Дефекты

CWE-79