GHSA-w7f2-6896-6mm2

Опубликовано: 26 апр. 2022

Источник: github

Github: Прошло ревью

CVSS3: 6.1

Описание

Liferay Portal and Liferay DXP allows arbitrary injection via web content template names

Cross-site scripting (XSS) vulnerability in Journal module's web content display configuration page before 5.0.15 in Liferay Portal 7.1.0 through 7.3.3, and Liferay DXP 7.0 before fix pack 94, 7.1 before fix pack 19, and 7.2 before fix pack 8, allows remote attackers to inject arbitrary web script or HTML via web content template names.

Ссылки

Пакеты

Наименование

com.liferay:com.liferay.journal.content.web

maven

Затронутые версииВерсия исправления

< 5.0.15

5.0.15

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.0.0, < 7.0.10.fp94

7.0.10.fp94

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.1.0, < 7.1.10.fp19

7.1.10.fp19

Наименование

com.liferay.portal:release.dxp.bom

maven

Затронутые версииВерсия исправления

>= 7.2.0, < 7.2.10.fp8

7.2.10.fp8

EPSS

Процентиль: 46%

0.0023

Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2022-26596

Дефекты

CWE-79

Связанные уязвимости

CVE-2022-26596

CVSS3: 6.1

nvd

почти 4 года назад

Cross-site scripting (XSS) vulnerability in Journal module's web content display configuration page in Liferay Portal 7.1.0 through 7.3.3, and Liferay DXP 7.0 before fix pack 94, 7.1 before fix pack 19, and 7.2 before fix pack 8, allows remote attackers to inject arbitrary web script or HTML via web content template names.

EPSS

Процентиль: 46%

0.0023

Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2022-26596

Дефекты

CWE-79