Er is een gereflecteerde cross-site scripting (XSS) kwetsbaarheid ontdekt in Liferay Portal versies 7.4.0 tot en met 7.4.3.132 en Liferay DXP versies van 2025.Q2.0 tot en met 2025.Q2.2, evenals eerdere versies. Deze kwetsbaarheid maakt het mogelijk voor een externe geauthenticeerde aanvaller om JavaScript-code in te voegen via de parameter _com_liferay_dynamic_data_mapping_web_portlet_DDMPortlet_definition. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige informatie.
Dit risico, hoewel technisch complex, heeft een gemiddelde ernstscore van 4.8. Het vereist een geauthenticeerde gebruiker, waardoor het moeilijker exploit is, maar de potentiële impact blijft aanzienlijk.
Overzicht
De Liferay-producten die door deze kwetsbaarheid getroffen zijn, zijn de volgende:
- Liferay Portal van versie 7.4.0 tot 7.4.3.132
- Liferay DXP versies:
- 2025.Q2.0 tot 2025.Q2.2
- 2025.Q1.0 tot 2025.Q1.14
- 2024.Q4.0 tot 2024.Q4.7
- 2024.Q3.1 tot 2024.Q3.13
- 2024.Q2.1 tot 2024.Q2.13
- 2024.Q1.1 tot 2024.Q1.18
- 7.4 GA tot update 92
Aanbevelingen
Het is aanbevolen om uw Liferay-installaties zo spoedig mogelijk te updaten naar de nieuwste versie die deze kwetsbaarheid adresseert. Controleer regelmatig op beveiligingsupdates en breng deze door in uw systemen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-43757?
Dit is een cross-site scripting (XSS) kwetsbaarheid die is geïdentificeerd in bepaalde versies van Liferay Portal en Liferay DXP.
Welke systemen zijn kwetsbaar voor CVE-2025-43757?
Versies van Liferay Portal vanaf 7.4.0 tot 7.4.3.132 en bepaalde versies van Liferay DXP zoals hierboven vermeld, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het wordt sterk aanbevolen om de meest recente updates en patches die door Liferay zijn verstrekt, te installeren om deze kwetsbaarheid aan te pakken.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan potentieel ongeautoriseerde scripts injecteren die toegang kunnen bieden tot gevoelige informatie op de getroffen Liferay-systemen.
