Liferay Enterprise Portal 跨站脚本漏洞

Liferay Enterprise Portal是美国Liferay公司的一个应用系统。提供一个展示电子商务功能。 Liferay Enterprise Portal 存在跨站脚本漏洞。该漏洞源于程序的\"_com_liferay_site_my_sites_web_portlet_MySitesPortlet_comments\"参数中用户提供的数据处理不充分而导致的。远程攻击者可以在易受攻击的网站的上下文中在用户浏览器中注入并执行任意HTML和脚本代码。以下产品及版本受到影响：Liferay Enterprise Portal： 7.0 CE GA5, 7.0 CE GA6, 7.0 CE GA7, 7.0.0, 7.0.0 A1, 7.0.0 A2, 7.0.0 A3, 7.0.0 A4, 7.0.0 A5, 7.0.0 B1, 7.0.0 B2, 7.0.0 B3, 7.0.0 B4, 7.0.0 B5, 7.0.0 B6, 7.0.0 B7, 7.0.0 B8, 7.0.0 GA1, 7.0.0 M1, 7.0.0 M2, 7.0.0 M3, 7.0.0 M4, 7.0.0 M5, 7.0.0 M6, 7.0.0 M7, 7.0.0 RC1, 7.0.1, 7.0.1 GA2, 7.0.2, 7.0.2 GA3, 7.0.3, 7.0.3 GA4, 7.0.4, 7.0.4 ga5, 7.0.5, 7.0.5 ga6, 7.0.6, 7.0.6 ga7, 7.1, 7.1 CE GA1, 7.1.0, 7.1.0 a1, 7.1.0 a2, 7.1.0 b1, 7.1.0 b2, 7.1.0 b3, 7.1.0 ga1, 7.1.0 m1, 7.1.0 m2, 7.1.0 rc1, 7.1.1, 7.1.1 ga2, 7.1.2, 7.1.2 ga3, 7.1.3, 7.1.3 ga4, 7.2, 7.2.0, 7.2.0 a1, 7.2.0 b1, 7.2.0 b2, 7.2.0 b3, 7.2.0 ga1, 7.2.0 m2, 7.2.0 rc2, 7.2.0 rc3, 7.2.1, 7.2.1 ga2, 7.3, 7.3.0 ga1, 7.3.1 ga2, 7.3.2 ga3, 7.3.3 ga4, 7.3.4, 7.3.4 ga5, 7.3.5, 7.4.0 ga1。