Liferay Portal versies 7.4.0 tot en met 7.4.3.132 en Liferay DXP versies 2025.Q1.0 tot en met 2025.Q1.5, evenals versies 2024 en 2023, kennen een ernstige kwetsbaarheid (CVE-2025-43743) waardoor geauthenticeerde gebruikers ongeautoriseerde toegang kunnen verkrijgen tot andere kalenders. Dit kan resulteren in gerichte phishing-aanvallen. Deze kwetsbaarheid heeft een CVSS-score van 5.3, wat het tot een middelgrote bedreiging maakt.
Overzicht
De kwetsbaarheid stelt elke afstandsbedienbaar geauthenticeerde gebruiker in staat om de namen van andere gebruikers te enumereren, wat kan leiden tot phishing-aanvallen. Dit probleem is te wijten aan een observable discrepancy in de software (CWE-203).
Aanbevelingen
- Controleer of uw huidige versie van Liferay Portal of DXP overeenkomt met de getroffen versies en werk indien nodig onmiddellijk bij naar een veilige versie.
- Beperk de toegang van geauthenticeerde gebruikers waar mogelijk om het risico van exploitatie te verminderen.
- Informeer en waarschuw uw medewerkers over de mogelijkheid van gerichte phishing-aanvallen.
