Er is een medium ernstige kwetsbaarheid ontdekt in Liferay Portal en DXP, aangeduid als CVE-2025-43768. Dit probleem stelt geauthenticeerde gebruikers, zonder specifieke permissies, in staat om toegang te krijgen tot gevoelige informatie via de JSONWS API’s van administrator-gebruikers. Dit kan leiden tot het lekken van gevoelige gegevens zonder dat een gebruiker dit merkt.
Overzicht
Liferay Portal versies 7.4.0 tot en met 7.4.3.131 en Liferay DXP versies 2024 van Q1 tot Q4 zijn kwetsbaar. Het probleem houdt in dat gevoelige informatie van admin gebruikers toegankelijk is voor gebruikers zonder speciale rechten.
Aanbevelingen
- Beheerders dienen hun systemen te updaten naar de laatste beveiligde versie van Liferay Portal en DXP.
- Controleer regelmatig op updates en beveiligingsadviezen van Liferay.
Vraag en Antwoord
Wat is CVE-2025-43768?
Het betreft een kwetsbaarheid in de JSONWS API’s van Liferay waardoor onbevoegde gebruikers gevoelige informatie kunnen inzien.
Welke systemen zijn kwetsbaar voor CVE-2025-43768?
Kwetsbare systemen zijn Liferay Portal 7.4.0 tot en met 7.4.3.131 en diverse versies van Liferay DXP 2024.
Bestaat er al een patch of beveiligingsupdate?
Er zijn updates van Liferay beschikbaar die gebruikers installeren om de kwetsbaarheid te mitigeren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder juiste rechten gevoelige administratie-informatie van gebruikers verkrijgen.
