Программа: Liferay Portal Enterprise 3.6.1 и более ранние
версии
Удаленный пользователь может произвести
XSS нападение. Уязвимость существует из-за
недостаточной обработки входных данных в
параметрах "_77_struts_action", "p_p_mode" и
"p_p_state" в сценарии "portal_ent" и в
нескольких параметрах в модуле поиска.
Удаленный пользователь может с помощью
специально сформированного запроса
выполнить произвольный HTML код в браузере
жертвы в контексте безопасности уязвимого
сайта.
Пример:
/web/guest/downloads/portal_ent?p_p_id=77 &p_p_action=1&p_p_state=maximized&p_p_mode=
view&p_p_col_order=null&p_p_col_pos=2& p_p_col_count=3&_77_struts_action=[XSS]
/web/guest/downloads/portal_ent?p_p_id=77 & p_p_action=1&p_p_state=
maximized&p_p_mode=[XSS]
/web/guest/downloads/portal_ent?p_p_id=77 & p_p_action=1&p_p_state=[XSS]
