بهتازگی یک آسیبپذیری با شناسه CVE-2024-25610 و شدت ۹ در Liferay Portal و Liferay DXP کشف شده است. پیکربندی پیشفرض، ورودیهای وبلاگ جاوااسکریپت را پاکسازی نمیکند که به موجب آن، کاربران احراز هویتشده از راه دور میتوانند یک اسکریپت مخرب وب یا یک کد html دلخواه را اجرا کنند.
محصولات تحتتأثیر
محصولات تحت تاثیر این آسیبپذیری عبارتند از:
• Liferay Portal 7.4.0 تا 7.4.3.12
• Liferay Portal 7.3.0 تا 7.3.7
• Liferay Portal 7.2.0 و 7.2.1
• Liferay Portal, نسخههای قدیمی که پشتیبانی نمیشوند
• Liferay DXP 7.4 before update 9
• Liferay DXP 7.3 before update 4
• Liferay DXP 7.2 before fix pack 19
• Liferay DXP, نسخههای قدیمی که پشتیبانی نمیشوند
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت محصولات خود را به نسخههای زیر ارتقاء دهند:
• Liferay Portal 7.4.3.13
• Liferay DXP 7.4 update 9
• Liferay DXP 7.3 update 4
• Liferay DXP 7.2 fix pack 19
منبع خبر:
- 20