CVSS: 9.6EPSS: 0%CPEs: 1EXPL: 0CVE-2023-42496
https://notcve.org/view.php?id=CVE-2023-42496
Reflected cross-site scripting (XSS) vulnerability on the add assignees to a role page in Liferay Portal 7.3.3 through 7.4.3.97, and Liferay DXP 2023.Q3 before patch 6, 7.4 GA through update 92, and 7.3 before update 34 allows remote attackers to inject arbitrary web script or HTML via the _com_liferay_roles_admin_web_portlet_RolesAdminPortlet_tabs2 parameter. Vulnerabilidad de Cross-site scripting (XSS) reflejado al agregar asignados a una página de rol en Liferay Portal 7.3.3 hasta 7.4.3.97 y Liferay DXP 2023.Q3 antes del parche 6, 7.4 GA hasta la actualización 92 y 7.3 antes de que la actualización 34 lo permita atacantes remotos inyectar script web o HTML arbitrario a través del parámetro _com_liferay_roles_admin_web_portlet_RolesAdminPortlet_tabs2. • https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42496 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.0EPSS: 0%CPEs: 2EXPL: 0CVE-2024-25603
https://notcve.org/view.php?id=CVE-2024-25603
Stored cross-site scripting (XSS) vulnerability in the Dynamic Data Mapping module's DDMForm in Liferay Portal 7.2.0 through 7.4.3.4, and older unsupported versions, and Liferay DXP 7.4.13, 7.3 before update 4, 7.2 before fix pack 17, and older unsupported versions allows remote authenticated users to inject arbitrary web script or HTML via the instanceId parameter. Vulnerabilidad de Cross-site scripting (XSS) almacenadas en el DDMForm del módulo Dynamic Data Mapping en Liferay Portal 7.2.0 a 7.4.3.4 y versiones anteriores no compatibles, y Liferay DXP 7.4.13, 7.3 antes de la actualización 4, 7.2 antes del fixpack 17, y las versiones anteriores no compatibles permiten a los usuarios autenticados remotamente inyectar script web o HTML arbitrario a través del parámetrostanceId. • https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25603 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0CVE-2024-25152
https://notcve.org/view.php?id=CVE-2024-25152
Stored cross-site scripting (XSS) vulnerability in Message Board widget in Liferay Portal 7.2.0 through 7.4.2, and older unsupported versions, and Liferay DXP 7.3 before service pack 3, 7.2 before fix pack 17, and older unsupported versions allows remote authenticated users to inject arbitrary web script or HTML via the filename of an attachment. Vulnerabilidad de Cross-site scripting (XSS) almacenadas en el widget Tablero de mensajes en Liferay Portal 7.2.0 a 7.4.2 y versiones anteriores no compatibles, y Liferay DXP 7.3 anterior al service pack 3, 7.2 anterior al fix pack 17 y versiones anteriores no compatibles permiten acceso remoto usuarios autenticados para inyectar scripts web o HTML arbitrarios a través del nombre de archivo de un archivo adjunto. • https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25152 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0CVE-2024-25601
https://notcve.org/view.php?id=CVE-2024-25601
Stored cross-site scripting (XSS) vulnerability in Expando module's geolocation custom fields in Liferay Portal 7.2.0 through 7.4.2, and older unsupported versions, and Liferay DXP 7.3 before service pack 3, 7.2 before fix pack 17, and older unsupported versions allows remote authenticated users to inject arbitrary web script or HTML via a crafted payload injected into the name text field of a geolocation custom field. Vulnerabilidad de Cross-site scripting (XSS) almacenadas en los campos personalizados de geolocalización del módulo Expando en Liferay Portal 7.2.0 a 7.4.2 y versiones anteriores no compatibles, y Liferay DXP 7.3 anteriores al service pack 3, 7.2 anteriores al fix pack 17 y versiones anteriores no compatibles permite a usuarios remotos autenticados inyectar script web o HTML arbitrario a través de un payload manipulado inyectado en el campo de texto del nombre de un campo personalizado de geolocalización. • https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25601 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0CVE-2024-25602
https://notcve.org/view.php?id=CVE-2024-25602
Stored cross-site scripting (XSS) vulnerability in Users Admin module's edit user page in Liferay Portal 7.2.0 through 7.4.2, and older unsupported versions, and Liferay DXP 7.3 before service pack 3, 7.2 before fix pack 17, and older unsupported versions allows remote authenticated users to inject arbitrary web script or HTML via a crafted payload injected into an organization’s “Name” text field Vulnerabilidad de Cross-site scripting (XSS) almacenadas en la página de edición de usuario del módulo Users Admin en Liferay Portal 7.2.0 a 7.4.2 y versiones anteriores no compatibles, y Liferay DXP 7.3 anteriores al service pack 3, 7.2 anteriores al fix pack 17 y anteriores no compatibles Las versiones permiten a usuarios remotos autenticados inyectar script web o HTML arbitrarios a través de un payload manipulado inyectado en el campo de texto "Nombre" de una organización. • https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25602 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •