Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2023-44311)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

17/10/2023

Última modificación:

24/10/2023

Descripción

Múltiples vulnerabilidades de Cross-Site Scripting (XSS) reflejadas en el complemento para la clase OAuth2ProviderApplicationRedirect del módulo OAuth 2.0 en Liferay Portal v7.4.3.41 a 7.4.3.89 y Liferay DXP 7.4 actualización 41 a 89 permiten a atacantes remotos inyectar script web o HTML arbitrarios mediante el (1) código o (2) el parámetro de error. Este problema se debe a una solución incompleta en CVE-2023-33941.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.10

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:liferay:digital_experience_platform:7.4:update41::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update48::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update50::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update52::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update62::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update67::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update76::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update81::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update82::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update83::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update84::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update85::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update86::::::
cpe:2.3:a:liferay:liferay_portal::::::::	7.4.3.41 (incluyendo)	7.4.3.90 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-44311

CPE	Desde	Hasta
cpe:2.3:a:liferay:digital_experience_platform:7.4:update41::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update48::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update50::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update52::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update62::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update67::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update76::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update81::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update82::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update83::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update84::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update85::::::
cpe:2.3:a:liferay:digital_experience_platform:7.4:update86::::::
cpe:2.3:a:liferay:liferay_portal::::::::	7.4.3.41 (incluyendo)	7.4.3.90 (excluyendo)