Liferay Portal cross-site scripting sérülékenység


2012. november 26. 07:05

CH azonosító

CH-7996

Angol cím

Liferay Portal swfupload Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.11.22.

Súlyosság

Alacsony

Érintett rendszerek

Liferay
Liferay Portal

Érintett verziók

Liferay Portal 6.x

Összefoglaló

A Liferay Portal egy sérülékenységét jelentették, amit kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat indíthatnak.

Leírás

A sérülékenységet az okozza, hogy az alkalmazásba ágyazott swfupload.swf részére átadott “movieName” bemeneti adat nem megfelelően van megtisztítva, mielőtt az “ExternalInterface.call()” meghívásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységet a 6.1.1 GA2 verzióban jelentették, de más kiadások is érintettek lehetnek.

Megoldás

Ismeretlen

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 51387
SECUNIA 49651
Egyéb referencia: websecurity.com.ua

Legfrissebb sérülékenységek
CVE-2025-54100 – PowerShell Remote Code Execution sérülékenység
CVE-2025-64671 – GitHub Copilot for Jetbrains Remote Code Execution sérülékenység
CVE-2025-62221 – Microsoft Windows Use After Free sérülékenység
CVE-2025-55754 – Apache Tomcat sérülékenysége
CVE-2025-42880 – SAP Solution Manager Code Injection sérülékenység
CVE-2025-42928 – SAP jConnect sérülékenység
CVE-2021-35211 – Serv-U Remote Memory Escape sérülékenysége
CVE-2025-66644 – Array Networks ArrayOS AG OS Command Injection sérülékenysége
CVE-2022-37055 – D-Link Routers Buffer Overflow sérülékenysége
CVE-2025-54988 – Apache Tika sérülékenysége
Tovább a sérülékenységekhez »