Er is een kritieke gebruikersenumeratie kwetsbaarheid ontdekt in Liferay Portal versies 7.4.0 tot en met 7.4.3.132 en in Liferay DXP versies tot 2024.Q4.7. Deze kwetsbaarheid, CVE-2025-43751, maakt het mogelijk voor kwaadwillenden om op afstand te achterhalen of een account bestaat in de applicatie via de aanmaakpagina voor accounts.
Overzicht
De kwetsbaarheid heeft betrekking op meerdere versies van Liferay-software en wordt geclassificeerd onder CWE-203: Observeerbare Discrepantie. Dit kan leiden tot een schending van de vertrouwelijkheid zonder dat er gebruikerinteractie nodig is. Dankzij een lage aanvalcomplexiteit en de afwezigheid van vereiste voorrechten, is de basis ernst beoordeeld als Medium met een CVSS-score van 6.9.
Aanbevelingen
- Verifieer of uw systemen een van de getroffen Liferay versies draaien zoals hieronder gespecificeerd. Als dit het geval is, overweeg dan z.s.m. een update naar de laatste niet-getroffen versie uit te voeren.
- Controleer regelmatig de officiële Liferay beveiligingssite voor verdere updates en adviezen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-43751?
CVE-2025-43751 is een gebruikersenumeratie kwetsbaarheid die aanvallers toestaat te ontdekken of accountinformatie bestaat in bepaalde versies van Liferay Portal en DXP.
Welke systemen zijn kwetsbaar voor CVE-2025-43751?
De getroffen systemen zijn Liferay Portal versies 7.4.0 tot en met 7.4.3.132 en Liferay DXP versies tot 2024.Q4.7, zoals gespecificeerd in de officiële melding.
Bestaat er al een patch of beveiligingsupdate?
Controleer de officiële bronnen, zoals de Liferay beveiligingssite, voor informatie over beschikbare patches of updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ontdekken of een account bestaat binnen de applicatie, wat kan leiden tot gerichte aanvallen met mogelijk ernstige gevolgen.
