CVE-2025-4599

Опубликовано: 04 авг. 2025

Источник: nvd

CVSS3: 6.1

EPSS Низкий

Описание

The fragment preview functionality in Liferay Portal 7.4.3.61 through 7.4.3.132, and Liferay DXP 2024.Q4.1 through 2024.Q4.5, 2024.Q3.1 through 2024.Q3.13, 2024.Q2.0 through 2024.Q2.13, 2024.Q1.1 through 2024.Q1.13 and 7.4 update 61 through update 92 was found to be vulnerable to postMessage-based XSS because it allows a remote non-authenticated attacker to inject JavaScript into the fragment portlet URL.

Ссылки

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-4599
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:*

Версия от 2024.q1.1 (включая) до 2024.q1.13 (включая)

cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:*

Версия от 2024.q2.0 (включая) до 2024.q2.13 (включая)

cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:*

Версия от 2024.q3.1 (включая) до 2024.q3.13 (включая)

cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:*

Версия от 2024.q4.1 (включая) до 2024.q4.5 (включая)

cpe:2.3:a:liferay:digital_experience_platform:7.4:*:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update61:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update62:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update63:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update64:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update65:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update66:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update67:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update68:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update69:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update70:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update71:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update72:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update73:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update74:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update75:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update76:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update77:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update78:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update79:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update80:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update81:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update82:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update83:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update84:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update85:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update86:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update87:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update88:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update89:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update90:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update91:*:*:*:*:*:*

cpe:2.3:a:liferay:digital_experience_platform:7.4:update92:*:*:*:*:*:*

cpe:2.3:a:liferay:liferay_portal:*:*:*:*:*:*:*:*

Версия от 7.4.3.61 (включая) до 7.4.3.132 (исключая)

EPSS

Процентиль: 5%

0.00023

Низкий

6.1 Medium

CVSS3

Дефекты

CWE-79

Связанные уязвимости

GHSA-6mh8-4qwq-prc5

CVSS3: 6.1

github

6 месяцев назад

EPSS

Процентиль: 5%

0.00023

Низкий

6.1 Medium

CVSS3

Дефекты

CWE-79