CVE-2025-43737

Опубликовано: 19 авг. 2025

Источник: nvd

CVSS3: 5.4

EPSS Низкий

Описание

A reflected cross-site scripting (XSS) vulnerability in the Liferay Portal 7.4.3.132, and Liferay DXP 2025.Q2.0 through 2025.Q2.8 and 2025.Q1.0 through 2025.Q1.15 allows a remote authenticated user to inject JavaScript code via _com_liferay_journal_web_portlet_JournalPortlet_backURL parameter.

Ссылки

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-43737
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:*

Версия от 2025.Q1.0 (включая) до 2025.Q1.16 (исключая)

cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:*

Версия от 2025.Q2.0 (включая) до 2025.Q2.9 (исключая)

cpe:2.3:a:liferay:liferay_portal:*:*:*:*:*:*:*:*

Версия от 7.4.0 (включая) до 7.4.3.132 (включая)

EPSS

Процентиль: 21%

0.00066

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-79

Связанные уязвимости

GHSA-vjwr-cqwf-6q96

github

6 месяцев назад

Liferay Portal Vulnerable to Cross-Site Scripting via backURL Paramter