Vulnerabilità: CVE-2020-7934

In Liferay Portal CE 7.1.0 tramite 7.2.1 GA2, il primo nome, secondo nome, e campi Cognome degli account utente di MyAccountPortlet sono tutti vulnerabili a un problema di XSS persistente. Qualsiasi utente può modificare questi campi con una particolare payload XSS, e sarà memorizzato nel database. Il payload verrà reso quando un utente utilizza la funzione di ricerca per ricercare altri utenti (cioè, se un utente con campi modificati avviene nei risultati di ricerca). Questo problema è stato risolto in Liferay Portal CE versione 7.3.0 GA1.


http://packetstormsecurity.com/files/160168/LifeRay-7.2.1-GA2-Cross-Site-Scripting.html
https://github.com/3ndG4me/liferay-xss-7.2.1GA2-poc-report-CVE-2020-7934
https://semanticbits.com/liferay-portal-authenticated-xss-disclosure/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7934


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi