Liferay Enterprise Portal 跨站脚本漏洞

CNNVD-ID编号	CNNVD-202105-807	CVE编号	CVE-2021-29044
发布时间	2021-05-13	更新时间	2021-05-14
漏洞类型	跨站脚本	漏洞来源	N/A
危险等级	中危	威胁类型	远程
厂商	N/A

漏洞介绍

Liferay Enterprise Portal是美国Liferay公司的一个应用系统。提供一个展示电子商务功能。 Liferay Enterprise Portal 存在跨站脚本漏洞。该漏洞源于程序的\"_com_liferay_site_my_sites_web_portlet_MySitesPortlet_comments\"参数中用户提供的数据处理不充分而导致的。远程攻击者可以在易受攻击的网站的上下文中在用户浏览器中注入并执行任意HTML和脚本代码。以下产品及版本受到影响：Liferay Enterprise Portal： 7.0 CE GA5, 7.0 CE GA6, 7.0 CE GA7, 7.0.0, 7.0.0 A1, 7.0.0 A2, 7.0.0 A3, 7.0.0 A4, 7.0.0 A5, 7.0.0 B1, 7.0.0 B2, 7.0.0 B3, 7.0.0 B4, 7.0.0 B5, 7.0.0 B6, 7.0.0 B7, 7.0.0 B8, 7.0.0 GA1, 7.0.0 M1, 7.0.0 M2, 7.0.0 M3, 7.0.0 M4, 7.0.0 M5, 7.0.0 M6, 7.0.0 M7, 7.0.0 RC1, 7.0.1, 7.0.1 GA2, 7.0.2, 7.0.2 GA3, 7.0.3, 7.0.3 GA4, 7.0.4, 7.0.4 ga5, 7.0.5, 7.0.5 ga6, 7.0.6, 7.0.6 ga7, 7.1, 7.1 CE GA1, 7.1.0, 7.1.0 a1, 7.1.0 a2, 7.1.0 b1, 7.1.0 b2, 7.1.0 b3, 7.1.0 ga1, 7.1.0 m1, 7.1.0 m2, 7.1.0 rc1, 7.1.1, 7.1.1 ga2, 7.1.2, 7.1.2 ga3, 7.1.3, 7.1.3 ga4, 7.2, 7.2.0, 7.2.0 a1, 7.2.0 b1, 7.2.0 b2, 7.2.0 b3, 7.2.0 ga1, 7.2.0 m2, 7.2.0 rc2, 7.2.0 rc3, 7.2.1, 7.2.1 ga2, 7.3, 7.3.0 ga1, 7.3.1 ga2, 7.3.2 ga3, 7.3.3 ga4, 7.3.4, 7.3.4 ga5, 7.3.5, 7.4.0 ga1。

漏洞补丁

目前厂商已发布升级了Liferay Enterprise Portal 跨站脚本漏洞的补丁，Liferay Enterprise Portal 跨站脚本漏洞的补丁获取链接： https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/120743548