Een kritieke kwetsbaarheid, aangeduid als CVE-2025-43739, is geïdentificeerd in Liferay Portal versies 7.4.0 tot en met 7.4.3.132 en Liferay DXP van 2025.Q1.0 tot 2025.Q1.6. Deze kwetsbaarheid stelt elke geauthenticeerde gebruiker in staat om de inhoud van e-mails die via de kalenderpoort worden verzonden te wijzigen. Dit betekent dat aanvallers phishing e-mails kunnen sturen naar andere gebruikers binnen dezelfde organisatie.
Overzicht
Deze kwetsbaarheid, met een CVSS-score van 5.3, heeft een middelmatige basisernst. Aanvallers kunnen deze fout vanaf een extern netwerk uitbuiten zonder dat specifieke privileges vereist zijn. Echter, er is passieve gebruikerinteractie nodig om de exploitatie succesvol te maken.
Aanbevelingen
- Update uw Liferay Portal naar een versie boven 7.4.3.132.
- Upgrade Liferay DXP naar versies boven 2025.Q1.6 om risico’s te verminderen.
- Controleer regelmatig op updates en beveiligingspatches van Liferay.
- Train medewerkers om verdachte e-mails te herkennen en rapporteren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-43739?
CVE-2025-43739 is een kwetsbaarheid in de Liferay Portal en DXP software die aanvallers in staat stelt om ongeoorloofde controle over e-mailinhoud te verkrijgen binnen een organisatie.
Welke systemen zijn kwetsbaar voor CVE-2025-43739?
Aangetaste systemen omvatten Liferay Portal versies 7.4.0 t/m 7.4.3.132 en Liferay DXP van 2025.Q1.0 tot en met 2025.Q1.6, naast enkele oudere kwartaalreleases.
Bestaat er al een patch of beveiligingsupdate?
Ja, Liferay heeft updates uitgebracht die deze kwetsbaarheid verhelpen. Versies boven 7.4.3.132 voor Portal, en boven 2025.Q1.6 voor DXP zijn niet kwetsbaar.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de inhoud van e-mails die via de kalenderpoort worden verzonden wijzigen, wat hen in staat stelt om overtuigende phishing e-mails te verzenden binnen de organisatie.
