| CNNVD-ID编号 | CNNVD-202001-1239 |
| CVE编号 | CVE-2020-7934 |
| 发布时间 | 2020-01-28 |
| 更新时间 | 2020-11-24 |
| 漏洞类型 | 跨站脚本 |
| 漏洞来源 | N/A |
| 危险等级 | 中危 |
| 威胁类型 | 远程 |
| 厂 商 | N/A |
Liferay Portal是美国Liferay公司的一套基于J2EE的门户解决方案。该方案使用了EJB以及JMS等技术,并可作为Web发布和共享工作区、企业协作平台、社交网络等。
LifeRay Portal CE v7.1.0版本至v7.2.1版本中的MyAccountPortlet的First Name、Middle Name和Last Name字段存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://www.liferay.com/
来源:semanticbits.com
链接:https://semanticbits.com/liferay-portal-authenticated-xss-disclosure/
来源:MISC
链接:https://github.com/3ndG4me/liferay-xss-7.2.1GA2-poc-report-CVE-2020-7934
来源:MISC
链接:https://packetstormsecurity.com/files/160168/LifeRay-7.2.1-GA2-Cross-Site-Scripting.html
来源:packetstormsecurity.com
链接:https://packetstormsecurity.com/files/160168/LifeRay-7.2.1-GA2-Cross-Site-Scripting.html
来源:nvd.nist.gov
暂无