Gratis scannen
CRITICALCVE-2024-26266CVSS 9

Liferay Portal en Liferay DXP kwetsbaar voor opgeslagen Cross-site Scripting

Platform

java

Component

com.liferay.portal:release.portal.bom

Opgelost in

7.4.4

7.4.14

7.3.11

7.2.11

7.4.3.14

AI Confidence: highNVDEPSS 0.2%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

CVE-2024-26266 beschrijft meerdere stored Cross-Site Scripting (XSS) kwetsbaarheden in Liferay Portal en DXP. Deze kwetsbaarheden stellen geauthenticeerde, externe aanvallers in staat om willekeurige webscripts of HTML te injecteren. De kwetsbaarheid treedt op in versies van Liferay Portal tot en met 7.4.3.9 en oudere niet-ondersteunde versies, en in Liferay DXP versies vóór update 10. Een upgrade naar versie 7.4.3.14 is vereist om de kwetsbaarheid te verhelpen.

Java / Maven

Detecteer deze CVE in je project

Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.

pom.xml uploadenOndersteunde formaten: pom.xml · build.gradle

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot het stelen van sessiecookies, het uitvoeren van kwaadaardige scripts in de context van de gebruiker en het compromitteren van de vertrouwelijkheid en integriteit van de applicatie. Aanvallers kunnen potentieel gevoelige informatie stelen, zoals gebruikersnamen, wachtwoorden en andere persoonlijke gegevens. Ze kunnen ook acties uitvoeren namens de gebruiker, zoals het wijzigen van instellingen of het verwijderen van gegevens. De impact is aanzienlijk, aangezien de kwetsbaarheid toegankelijk is voor geauthenticeerde gebruikers, wat een groot aantal potentiële aanvallers omvat. Dit soort XSS-aanvallen kunnen vergelijkbare gevolgen hebben als die in andere webapplicaties met vergelijkbare kwetsbaarheden.

Uitbuitingscontext

Deze kwetsbaarheid werd publiek bekendgemaakt op 21 februari 2024. Er zijn momenteel geen openbare proof-of-concept exploits beschikbaar, maar de kritieke ernst en de toegankelijkheid voor geauthenticeerde gebruikers suggereren een potentieel hoog risico. Het is waarschijnlijk dat deze kwetsbaarheid in de toekomst zal worden uitgebuit, vooral als er een gemakkelijke proof-of-concept beschikbaar komt. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op het moment van schrijven).

Wie Loopt Risicowordt vertaald…

Organizations utilizing Liferay Portal 7.2.0 through 7.4.3.13, and older unsupported versions, and Liferay DXP versions prior to update 10 are at risk. This includes businesses relying on Liferay for content management, intranet portals, and customer experience platforms. Shared hosting environments where multiple users have access to create content within Liferay are particularly vulnerable.

Detectiestappenwordt vertaald…

• linux / server:

journalctl -u liferay-portal | grep -i "XSS"

• generic web:

curl -I https://<liferay_portal_url>/ | grep -i "X-XSS-Protection"

• wordpress / composer / npm: (Not applicable as Liferay is not a WordPress/Composer/npm component) • database (mysql, redis, mongodb, postgresql): (Not applicable as the vulnerability is not directly related to the database) • windows / supply-chain: (Not applicable as Liferay is not a Windows/supply-chain component)

Aanvalstijdlijn

  1. Disclosure

    disclosure

  2. Patch

    patch

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

EPSS

0.15% (36% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaarno
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H9.0CRITICALAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionRequiredOf het slachtoffer actie moet ondernemenScopeChangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityHighRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
Scope
Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Hoog — volledige crash of uitputting van resources. Totale denial of service.

Getroffen Software

Componentcom.liferay.portal:release.portal.bom
Leverancierosv
Getroffen bereikOpgelost in
7.2.0 – 7.4.3.137.4.4
7.4.13 – 7.4.13.u97.4.14
7.3.10 – 7.3.10-dxp-37.3.11
7.2.10 – 7.2.10-dxp-167.2.11
7.4.3.14

Zwakheidsclassificatie (CWE)

CWE-79

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2024-26266 is het upgraden van Liferay Portal naar versie 7.4.3.14 of hoger, of Liferay DXP naar de relevante update. Als een directe upgrade niet mogelijk is, overweeg dan om de toegang tot de Announcement en Alerts widgets te beperken voor gebruikers met minder privileges. Implementeer een Content Security Policy (CSP) om de uitvoering van inline scripts te beperken en het laden van externe scripts te controleren. Regelmatige code reviews en beveiligingstests kunnen helpen om soortgelijke kwetsbaarheden in de toekomst te voorkomen. Na de upgrade, verifieer de fix door te proberen een XSS-payload in de gebruikersnaamvelden van de Announcement en Alerts widgets te injecteren; de payload zou moeten worden genegeerd.

Hoe te verhelpen

Werk Liferay Portal bij naar de meest recente beschikbare versie. Voor Liferay DXP, werk bij naar versie 7.4 Update 10, 7.3 Update 4 of 7.2 Fix Pack 17, of een latere versie. Dit zal de opgeslagen cross-site scripting (XSS) kwetsbaarheden verhelpen.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragenwordt vertaald…

What is CVE-2024-26266 — XSS in Liferay Portal 7.4?

CVE-2024-26266 is a critical stored cross-site scripting (XSS) vulnerability in Liferay Portal and DXP versions allowing attackers to inject malicious scripts through user name fields in widgets.

Am I affected by CVE-2024-26266 in Liferay Portal 7.4?

You are affected if you are running Liferay Portal versions 7.2.0 through 7.4.3.13, or older unsupported versions, and Liferay DXP versions prior to update 10.

How do I fix CVE-2024-26266 in Liferay Portal 7.4?

Upgrade to Liferay Portal 7.4.3.14 or later, or to Liferay DXP update 10 or later. Consider input validation and WAF rules as temporary mitigations.

Is CVE-2024-26266 being actively exploited?

No active exploitation has been confirmed, but the CRITICAL severity suggests it is a likely target.

Where can I find the official Liferay advisory for CVE-2024-26266?

Refer to the official Liferay security advisory: [https://liferay.com/security-advisories/liferay-portal-dxp-74-3-14-and-liferay-dxp-73-4-released](https://liferay.com/security-advisories/liferay-portal-dxp-74-3-14-and-liferay-dxp-73-4-released)

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken