CVE-2025-4388

Опубликовано: 06 мая 2025

Источник: nvd

CVSS3: 6.1

EPSS Средний

Описание

A reflected cross-site scripting (XSS) vulnerability in the Liferay Portal 7.4.0 through 7.4.3.131, and Liferay DXP 2024.Q4.0 through 2024.Q4.5, 2024.Q3.1 through 2024.Q3.13, 2024.Q2.0 through 2024.Q2.13, 2024.Q1.1 through 2024.Q1.12, 7.4 GA through update 92 allows an remote non-authenticated attacker to inject JavaScript into the modules/apps/marketplace/marketplace-app-manager-web.

Ссылки

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-4388
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:*

Версия от 2024.Q1.1 (включая) до 2024.Q1.13 (исключая)

cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:*

Версия от 2024.q2.0 (включая) до 2024.q4.6 (исключая)

cpe:2.3:a:liferay:digital_experience_platform:7.4:*:*:*:*:*:*:*

cpe:2.3:a:liferay:liferay_portal:*:*:*:*:*:*:*:*

Версия от 7.4.0 (включая) до 7.4.3.132 (исключая)

EPSS

Процентиль: 94%

0.13137

Средний

6.1 Medium

CVSS3

Дефекты

CWE-79

Связанные уязвимости

GHSA-p2f8-vq4r-gqg3

github

9 месяцев назад

Liferay Portal Reflected XSS in marketplace-app-manager-web