CVE-2025-43804 — Liferay search widget vulnerable to Cross-site Scripting

描述

There is a Cross-site scripting (XSS) vulnerability in Liferay Portal's Search widget . Versions 7.4.3.93 through 7.4.3.111, and Liferay DXP 2023.Q4.0, 2023.Q3.1 through 2023.Q3.4 allow remote attackers to inject arbitrary web scripts or HTML via the `_com_liferay_portal_search_web_portlet_SearchPortlet_userId` parameter.

如何修補 CVE-2025-43804

要修補 CVE-2025-43804,請將受影響套件升級到下列已修補版本。

Maven/com.liferay:com.liferay.portal.search—升級至 8.0.93 或更新版本

CVE-2025-43804 正在被利用嗎?

低 — EPSS 為 0.0%,目前沒有觀察到大規模利用活動。

受影響套件(1)

from 0, < 8.0.93

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 4.0	—	CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

參考連結(5)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2025-43804
PATCHgithub.com/liferay/liferay-portal
WEBgithub.com/liferay/liferay-portal/commit/141f3fc8379e56831fae45a5b2647e86dab9d265
WEBliferay.atlassian.net/browse/LPE-17892