主要脆弱性情報 CVE-2025-62240 カレンダーイベント内のユーザー名によるXSS 説明 Liferay DXPのイベントカレンダーには複数のクロスサイトスクリプティング(XSS)脆弱性があります。攻撃者は、ユーザーの(1)名、(2)ミドルネーム、(3)姓のテキストフィールドに悪意のあるペイロードを挿入することで、任意のウェブスクリプトやHTMLを注入し、リモートから攻撃を実行できます。 重大度 4.8 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:L/Vi:L/VA:N/SC:N/SI:N/SA:N) 影響を受けるバージョン Liferay Portal 7.4.3.35 〜 7.4.3.111 Liferay DXP 2023.Q4.0 〜 2023.Q4.5 Liferay DXP 2023.Q3.1 〜 2023.Q3.7 Liferay DXP 7.4 Update 35 〜 Update 92 Liferay DXP 7.3 Update 25 〜 Update 36 修正済みバージョン Liferay Portal 7.4.3.112 Liferay DXP 2024.Q1.1 Liferay DXP 2023.Q4.6 Liferay DXP 2023.Q3.8 謝辞 この問題は foobar7 によって報告されました。 公開日 2024年9月13日(金)13:49:00 UTC