Een zorgwekkende reflected cross-site scripting (XSS) kwetsbaarheid (CVE-2025-43761) is ontdekt in Liferay Portal versie 7.4.0 tot 7.4.3.131 en Liferay DXP van versies 2024.Q4.0 tot 2024.Q4.4, en meerdere andere versies van DXP. Deze kwetsbaarheid stelt niet-geauthenticeerde aanvallers in staat om JavaScript te injecteren via de frontend-editor-ckeditor-web/ckeditor/samples/old/ajax.html pad.
Dit kan ernstige gevolgen hebben voor de integriteit en vertrouwelijkheid van uw systeem en gegevens.
Overzicht
De kwetsbaarheid is gecategoriseerd als een reflected XSS (CWE-79) en heeft een CVSS-score van 6.9, wat het een middelmatig risico maakt. Aanvallers kunnen misbruik maken van de kwetsbaarheid via een netwerk vector zonder enige vereiste van gebruikersinteractie of privileges.
Aanbevelingen
- Controleer en update uw Liferay Portal en DXP naar een versie die niet kwetsbaar is voor deze exploit.
- Houd het beveiligingsadvies van de leverancier in de gaten voor beschikbare patches of updates.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-43761?
Het betreft een ernstige XSS-kwetsbaarheid in Liferay’s producten die aanvallers in staat stelt om kwaadaardig JavaScript in te voegen.
Welke systemen zijn kwetsbaar voor CVE-2025-43761?
De kwetsbare systemen zijn Liferay Portal 7.4.0 tot 7.4.3.131 en verschillende versies van Liferay DXP, zoals vermeld in de details hierboven.
Bestaat er al een patch of beveiligingsupdate?
Controleer het beveiligingsadvies van Liferay voor de laatste patches. Het is aan te raden om systemen zo snel mogelijk bij te werken.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan JavaScript-injecties uitvoeren die de integriteit en vertrouwelijkheid van informatie op het getroffen systeem kunnen compromitteren.
