Een ernstige reflected cross-site scripting (XSS) kwetsbaarheid is ontdekt in de Liferay Portal versies 7.4.0 tot en met 7.4.3.131, en Liferay DXP versies 2024.Q4.0 tot en met 2024.Q4.3, 2024.Q3.1 tot en met 2024.Q3.13, 2024.Q2.0 tot en met 2024.Q2.13, 2024.Q1.1 tot en met 2024.Q1.12 en 7.4 GA tot update 92. Deze kwetsbaarheid laat een niet-geauthenticeerde aanvaller toe via het netwerk om schadelijke JavaScript-code in te voegen in de referer of FORWARD_URL parameters door gebruik te maken van %00.
Overzicht
De kwetsbaarheid (CWE-79) betreft onjuiste neutralisatie van invoer tijdens webpagina-generatie, wat kan leiden tot misbruik door externe aanvallers.
Aanbevelingen
- Controleer of u een van de getroffen versies van Liferay Portal of DXP gebruikt.
- Update zo snel mogelijk naar een versie die niet kwetsbaar is.
- Monitor het netwerkverkeer op ongebruikelijke activiteiten om eventuele aanvallen snel te identificeren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-43770?
Het is een beveiligingslek (wenbare reflected XSS) dat Liferay Portal en DXP versies treft, waarmee JavaScript kan worden uitgevoerd door aanvallers zonder authenticatie.
Welke systemen zijn kwetsbaar voor CVE-2025-43770?
Alle systemen die gebruik maken van Liferay Portal versies 7.4.0 tot en met 7.4.3.131 en DXP versies zoals verder omschreven onder getroffen versies.
Bestaat er al een patch of beveiligingsupdate?
Ja, het is van cruciaal belang om uw systemen te updaten naar een niet-kwetsbare versie.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts injecteren die worden uitgevoerd in de context van een gebruiker die de kwetsbare Liferay instantie gebruikt, met potentiële gevolgen voor gegevensintegriteit en vertrouwelijkheid.
