CVE-2025-43815

Опубликовано: 29 сент. 2025

Источник: nvd

CVSS3: 6.1

EPSS Низкий

Описание

Reflected cross-site scripting (XSS) vulnerability on the page configuration page in Liferay Portal 7.4.3.102 through 7.4.3.110, and Liferay DXP 2023.Q4.0 through 2023.Q4.2, and 2023.Q3.5 allows remote attackers to inject arbitrary web script or HTML via the com_liferay_layout_admin_web_portlet_GroupPagesPortlet_backURLTitle parameter.

Ссылки

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-43815
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:*

Версия от 2023.q4.0 (включая) до 2023.q4.3 (исключая)

cpe:2.3:a:liferay:digital_experience_platform:2023.q3.5:*:*:*:*:*:*:*

cpe:2.3:a:liferay:liferay_portal:*:*:*:*:*:*:*:*

Версия от 7.4.3.102 (включая) до 7.4.3.111 (исключая)

EPSS

Процентиль: 16%

0.0005

Низкий

6.1 Medium

CVSS3

Дефекты

CWE-79

Связанные уязвимости

GHSA-wmjx-xv9v-r89q

github

4 месяца назад

Liferay Portal vulnerable to reflected cross-site scripting on the page configuration page