GHSA-ghw5-998m-vw4w

Source

https://github.com/advisories/GHSA-ghw5-998m-vw4w

Import Source

https://github.com/github/advisory-database/blob/main/advisories/github-reviewed/2022/03/GHSA-ghw5-998m-vw4w/GHSA-ghw5-998m-vw4w.json

JSON Data

https://api.osv.dev/v1/vulns/GHSA-ghw5-998m-vw4w

Aliases

BIT-liferay-2022-25146
CVE-2022-25146

Published

2022-03-04T00:00:19Z

Modified

2025-07-15T19:41:54.046855Z

Severity

5.3 (Medium) CVSS_V3 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS Calculator

Summary

Liferay Portal and Liferay DXP fails to check origin of event messages

Details

The Remote App module before 2.0.21 from Liferay Portal v7.4.3.4 through v7.4.3.8 and Liferay DXP 7.4 before update 5 does not check if the origin of event messages it receives matches the origin of the Remote App, allowing attackers to exfiltrate the CSRF token via a crafted event message.

Database specific

{
    "severity": "MODERATE",
    "github_reviewed_at": "2025-07-15T19:01:58Z",
    "cwe_ids": [
        "CWE-346"
    ],
    "github_reviewed": true,
    "nvd_published_at": "2022-03-03T00:15:00Z"
}

References

Affected packages

Maven / com.liferay:com.liferay.remote.app.web

Package

Name: com.liferay:com.liferay.remote.app.web; View open source insights on deps.dev
Purl: pkg:maven/com.liferay/com.liferay.remote.app.web

Affected ranges

Type: ECOSYSTEM
Events: Introduced

0Unknown introduced version / All previous versions are affected

Fixed

2.0.21

Affected versions

2.*

2.0.6

2.0.7

2.0.8

2.0.9

2.0.10

2.0.11

2.0.12

2.0.13

2.0.14

2.0.15

2.0.16

2.0.17

2.0.18

2.0.19

2.0.20

Maven / com.liferay.portal:release.dxp.bom

Package

Name: com.liferay.portal:release.dxp.bom; View open source insights on deps.dev
Purl: pkg:maven/com.liferay.portal/release.dxp.bom

Affected ranges

Type: ECOSYSTEM
Events: Introduced

0Unknown introduced version / All previous versions are affected

Fixed

7.4.13.u5

Affected versions

7.*

7.0.10.fp60

7.0.10.fp61

7.0.10.fp62

7.0.10.fp63

7.0.10.fp64

7.0.10.fp65

7.0.10.fp66

7.0.10.fp67

7.0.10.fp68

7.0.10.fp69

7.0.10.fp70

7.0.10.fp71

7.0.10.fp72

7.0.10.fp73

7.0.10.fp74

7.0.10.fp75

7.0.10.fp76

7.0.10.fp77

7.0.10.fp78

7.0.10.fp79

7.0.10.fp80

7.0.10.fp81

7.0.10.fp82

7.0.10.fp83

7.0.10.fp84

7.0.10.fp85

7.0.10.fp85-1

7.0.10.fp86

7.0.10.fp86-1

7.0.10.fp87

7.0.10.fp87-1

7.0.10.fp88

7.0.10.fp89

7.0.10.fp90

7.0.10.fp91

7.0.10.fp92

7.0.10.fp94

7.0.10.fp94-1

7.0.10.fp95

7.0.10.fp95-1

7.0.10.fp95-2

7.0.10.fp97

7.0.10.fp98

7.0.10.fp100

7.0.10.fp101

7.0.10.fp102

7.0.10.7

7.0.10.8

7.0.10.9

7.0.10.14

7.0.10.14-1

7.0.10.16

7.0.10.17

7.1.10

7.1.10.fp1

7.1.10.fp2

7.1.10.fp3

7.1.10.fp4

7.1.10.fp5

7.1.10.fp6

7.1.10.fp7

7.1.10.fp8

7.1.10.fp9

7.1.10.fp10

7.1.10.fp11

7.1.10.fp12

7.1.10.fp13

7.1.10.fp14

7.1.10.fp15

7.1.10.fp16

7.1.10.fp17

7.1.10.fp18

7.1.10.fp19

7.1.10.fp20

7.1.10.fp22

7.1.10.fp24

7.1.10.fp25

7.1.10.fp26

7.1.10.fp27

7.1.10.fp28

7.1.10.1

7.1.10.3

7.1.10.4

7.1.10.5

7.1.10.6

7.1.10.7

7.1.10.8

7.2.1

7.2.10

7.2.10.fp1

7.2.10.fp1-1

7.2.10.fp2

7.2.10.fp3

7.2.10.fp4

7.2.10.fp5

7.2.10.fp6

7.2.10.fp7

7.2.10.fp8

7.2.10.fp9

7.2.10.fp10

7.2.10.fp11

7.2.10.fp12

7.2.10.fp13

7.2.10.fp14

7.2.10.fp15

7.2.10.fp16

7.2.10.fp17

7.2.10.fp18

7.2.10.fp19

7.2.10.fp20

7.2.10.1

7.2.10.2

7.2.10.3

7.2.10.3-1

7.2.10.4

7.2.10.4-1

7.2.10.5

7.2.10.5-1

7.2.10.6

7.2.10.7

7.2.10.8

7.3.10

7.3.10.ep3

7.3.10.ep4

7.3.10.ep5

7.3.10.fp1

7.3.10.fp2

7.3.10.u4

7.3.10.u5

7.3.10.u6

7.3.10.u7

7.3.10.u8

7.3.10.u9

7.3.10.u10

7.3.10.u11

7.3.10.u12

7.3.10.u13

7.3.10.u14

7.3.10.u15

7.3.10.u16

7.3.10.u17

7.3.10.u18

7.3.10.u19

7.3.10.u19-1

7.3.10.u20

7.3.10.u20-1

7.3.10.u21

7.3.10.u21-1

7.3.10.u22

7.3.10.u22-1

7.3.10.u23

7.3.10.u24

7.3.10.u25

7.3.10.u26

7.3.10.u27

7.3.10.u28

7.3.10.u29

7.3.10.u30

7.3.10.u31

7.3.10.u32

7.3.10.u33

7.3.10.u34

7.3.10.u35

7.3.10.u36

7.3.10.0-2

7.3.10.1

7.3.10.3

7.4.10.ep1

7.4.11

7.4.12

7.4.13

7.4.13.u1

7.4.13.u2

7.4.13.u3

7.4.13.u4