exploitDog

GHSA-rcc7-jx7p-hrv4

Опубликовано: 09 сент. 2025

Источник: github

Github: Прошло ревью

CVSS4: 4.6

Описание

Liferay Portal and Liferay DXP vulnerable to store Cross-site Scripting

A stored cross-site scripting vulnerability in the Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q2.0 through 2025.Q2.9, 2025.Q1.0 through 2025.Q1.16, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.0 through 2024.Q3.13, 2024.Q2.0 through 2024.Q2.13, 2024.Q1.1 through 2024.Q1.19 and 7.4 GA through update 92 allows an remote authenticated attacker to inject JavaScript through Custom Object field label. The malicious payload is stored and executed through Process Builder's Configuration tab without proper escaping.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.portal.bom

maven

Затронутые версииВерсия исправления

>= 7.4.0, <= 7.4.3.132

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.4, <= 7.4.13.u92

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.Q1.1, <= 2024.Q1.19

2024.Q1.20

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.Q2.0, <= 2024.Q2.13

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.Q3.0, <= 2024.Q3.13

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2024.Q4.0, <= 2024.Q4.7

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2025.Q1.0, <= 2025.Q1.16

2025.Q1.17

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 2025.Q2.0, <= 2025.Q2.9

2025.Q2.10

Наименование

com.liferay:com.liferay.portal.workflow.web

maven

Затронутые версииВерсия исправления

< 4.0.94

4.0.94

EPSS

Процентиль: 20%

0.00066

Низкий

4.6 Medium

CVSS4

CVE ID

Дефекты

CWE-209

CWE-79

Связанные уязвимости

CVE-2025-43776

CVSS3: 5.4

nvd

5 месяцев назад

A Stored cross-site scripting vulnerability in the Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q2.0 through 2025.Q2.9, 2025.Q1.0 through 2025.Q1.16, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.0 through 2024.Q3.13, 2024.Q2.0 through 2024.Q2.13, 2024.Q1.1 through 2024.Q1.19 and 7.4 GA through update 92 allows an remote authenticated attacker to inject JavaScript through Custom Object field label. The malicious payload is stored and executed through Process Builder's Configuration tab without proper escaping.

EPSS

Процентиль: 20%

0.00066

Низкий

4.6 Medium

CVSS4

CVE ID

Дефекты

CWE-209

CWE-79