发布日期：2010-01-05
更新日期：2010-01-06

受影响系统：

Liferay, Inc. Liferay Portal 5.2.x
Liferay, Inc. Liferay Portal 5.1.x

不受影响系统：

Liferay, Inc. Liferay Portal 5.3.0

描述：

---

BUGTRAQ  ID: 37615
CVE(CAN) ID: CVE-2009-3742

Liferay Portal是一个完整的门户解决方案，基于J2EE的应用，使用了EJB以及JMS等技术。

Liferay Portal没有正确地过滤用户通过HTTP GET请求提交给控制面板的Plugins Configuration部分的输入参数，远程攻击者可以通过在请求中包含恶意的p_p_id参数执行跨站脚本攻击，导致在用户浏览器会话中注入并执行任意HTML和脚本代码。

<*来源：Tomasz Kuczynski
  
  链接：http://www.kb.cert.org/vuls/id/750796
        http://issues.liferay.com/si/jira.issueviews:issue-html/LPS-6034/LPS-6034.html
        http://secunia.com/advisories/38088/
*>

建议：

---

厂商补丁：

Liferay, Inc.
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://issues.liferay.com/si/jira.issueviews:issue-html/LPS-6034/LPS-6034.html

浏览次数：2507
严重程度：0（网友投票）