Er is een nieuwe kwetsbaarheid ontdekt in Liferay Portal en DXP, aangeduid als CVE-2025-43740. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller op afstand in staat om JavaScript te injecteren via de message boards-functionaliteit van de webinterface, wat kan leiden tot een cross-site scripting (XSS) aanval.
Deze kwetsbaarheid is ernstig omdat het een aanvaller mogelijk kan maken om ongeautoriseerde JavaScript-code uit te voeren binnen de browser van andere gebruikers, waarbij hun sessies en mogelijk gevoelige gegevens kunnen worden blootgesteld.
Overzicht
De getroffen versies zijn Liferay Portal 7.4.3.120 tot 7.4.3.132 en Liferay DXP van 2024.Q1.9 tot 2025.Q2.8. Gebruikers worden geadviseerd hun systemen te controleren en noodzakelijke updates uit te voeren.
Liferay Portal versies: 7.4.3.120 - 7.4.3.132
Liferay DXP versies: 2024.Q1.9 - 2025.Q2.8
Impactanalyse
- Aanvalsvector: Netwerk
- Complexiteit aanval: Laag
- Benodigde privileges: Hoog
- Gebruikersinteractie: Actief
- Integriteit en vertrouwelijkheid: Laag zakker risico
Deze XSS-kwetsbaarheid is gecategoriseerd onder CWE-79 en heeft een CVSS-basisscore van 4.6, wat wijst op een middelmatige ernst.
Bronnen
- Meer informatie over deze kwetsbaarheid is te vinden op de Liferay Beveiligingspagina.
Vraag en Antwoord
Wat is CVE-2025-43740?
Dit is een geregistreerde kwetsbaarheid in Liferay systemen die cross-site scripting mogelijk maakt via JavaScript-injectie.
Welke systemen zijn kwetsbaar voor CVE-2025-43740?
Kwetsbare systemen zijn die met Liferay Portal versies 7.4.3.120 – 7.4.3.132 en Liferay DXP versies van 2024.Q1.9 tot 2025.Q2.8.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen specifieke informatie over een patch. Controleer de bronnen voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan JavaScript injecteren die wordt uitgevoerd in de browsers van andere gebruikers, mogelijk gevoelige informatie stelen of de gebruikerservaring manipuleren.
