GHSA-vg6h-g5mr-9hgv

Опубликовано: 16 сент. 2025

Источник: github

Github: Прошло ревью

CVSS4: 4.8

Описание

Liferay Stored Cross-site Scripting vulnerability

Stored cross-site scripting (XSS) vulnerability in a custom object’s /o/c/ API endpoint in Liferay Portal 7.4.3.51 through 7.4.3.109, and Liferay DXP 2023.Q3.1 through 2023.Q3.4, 7.4 update 51 through update 92, and 7.3 update 33 through update 35 allows remote attackers to inject arbitrary web script or HTML via the externalReferenceCode parameter.

Ссылки

Пакеты

Наименование

com.liferay.workspace:com.liferay.ticket.workspace

maven

Затронутые версииВерсия исправления

< 20240122.0632

20240122.0632

EPSS

Процентиль: 20%

0.00066

Низкий

4.8 Medium

CVSS4

CVE ID

CVE-2025-43802

Дефекты

CWE-79

Связанные уязвимости

CVE-2025-43802

CVSS3: 6.1

nvd

5 месяцев назад

Stored cross-site scripting (XSS) vulnerability in a custom object’s /o/c/<object-name> API endpoint in Liferay Portal 7.4.3.51 through 7.4.3.109, and Liferay DXP 2023.Q3.1 through 2023.Q3.4, 7.4 update 51 through update 92, and 7.3 update 33 through update 35. allows remote attackers to inject arbitrary web script or HTML via the externalReferenceCode parameter.

EPSS

Процентиль: 20%

0.00066

Низкий

4.8 Medium

CVSS4

CVE ID

CVE-2025-43802

Дефекты

CWE-79