关键漏洞信息 漏洞类型 Authenticated Persistent XSS (Cross-Site Scripting) 漏洞编号 CVE-2022-38901 CVE-2022-38902 影响产品与版本 CVE-2022-38901: - Liferay Portal 7.3.5 - 7.4.3.28 - Liferay DXP 7.3 before update 6 - Liferay DXP 7.4 before update 29 CVE-2022-38902: - Liferay Portal 7.3.0 - 7.4.0 - Liferay DXP 7.3 before update 9 漏洞描述 1. 文件上传功能中的XSS漏洞 - 在“Document and Media”模块的文件上传功能中,攻击者可利用上传带有恶意JavaScript的SVG文件,在“Description”字段中插入恶意代码。当已登录的用户查看该文件或其描述时,恶意JavaScript将被触发。 - 影响的参数: 2. 分类名中的XSS漏洞 - 攻击者可以在任何支持分类的资产的“Name”文本字段中注入任意JS脚本。例如,在“Content & Data > Blogs module > categorization section”部分可以利用该漏洞。 - 影响的参数: 修复措施 提交漏洞报告并采用负责任的披露方式,被Liferay官方验证确认。 修复版本: Liferay Portal 7.4 GA4 (7.4.3.4) 及之后版本 风险与影响 成功攻击可能导致受害者用户执行任意操作,可能引发权限提升。