Podatność CVE-2019-6588

Podatność CVE-2019-6588

Publikacja: 2019-06-03

Opis:

In Liferay Portal before 7.1 CE GA4, an XSS vulnerability exists in the SimpleCaptcha API when custom code passes unsanitized input into the "url" parameter of the JSP taglib call <liferay-ui:captcha url="<%= url %>" /> or <liferay-captcha:captcha url="<%= url %>" />. Liferay Portal out-of-the-box behavior with no customizations is not vulnerable.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:

	Tytuł	Autor	Data
Low	Liferay Portal 7.1 CE GA4 Cross Site Scripting	Valerio Brussani	13.06.2019

Typ:

CWE-79

(Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting'))

CVSS2 => (AV:N/AC:H/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS	Znaczenie	Łatwość wykorzystania
2.6/10	2.9/10	4.9/10

Wymagany dostęp	Złożoność ataku	Autoryzacja
Zdalny	Wysoka	Nie wymagana
Wpływ na poufność	Wpływ na integralność	Wpływ na dostępność
Brak	Częściowy	Brak

Affected software
Liferay -> Liferay portal

Referencje:

http://packetstormsecurity.com/files/153252/Liferay-Portal-7.1-CE-GA4-Cross-Site-Scripting.html

https://dev.liferay.com/web/community-security-team/known-vulnerabilities/liferay-portal-71/-/asset_publisher/7v4O7y85hZMo/content/cst-7130-multiple-xss-vulnerabilities-in-7-1-ce-ga3

Podatność CVE-2019-6588

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:

Low

Liferay Portal 7.1 CE GA4 Cross Site Scripting

CWE-79

CVSS2 => (AV:N/AC:H/Au:N/C:N/I:P/A:N)

2.6/10

2.9/10

4.9/10

Zdalny

Wysoka

Nie wymagana

Brak

Częściowy

Brak

Affected software

Referencje: