Er is een belangrijk beveiligingslek ontdekt in de Liferay Portal (7.4.0 tot en met 7.4.3.132) en Liferay DXP (versie 2025.Q2.0 tot en met 2025.Q2.5). Deze kwetsbaarheid, aangeduid als CVE-2025-43744, betreft een op DOM gebaseerde Cross-Site Scripting (XSS) aanval. Hiermee kunnen kwaadwillenden willekeurige JavaScript code injecteren via veldlabels in DDM-structuren, wat een tamelijk eenvoudig uit te voeren aanval is.
Deze kwetsbaarheid beïnvloedt applicaties die gebruikmaken van de Asset Publisher-configuratie in de Source.js module. De JavaScript code wordt zonder de juiste codering in de DOM geïnjecteerd, waardoor uw systemen gevaar lopen.
Overzicht
- Product: Liferay Portal en Liferay DXP
- Gevoelige versies:
Liferay Portal: 7.4.0 tot en met 7.4.3.132
Liferay DXP: 2025.Q2.0 tot en met 2025.Q2.5, 2025.Q1.0 tot en met 2025.Q1.15, 2024.Q4.0 tot en met 2024.Q4.7, 2024.Q3.0 tot en met 2024.Q3.13, 2024.Q2.0 tot en met 2024.Q2.13, 2024.Q1.1 tot en met 2024.Q1.19
- Waarschuwing: Bij lage aanvalsinspanningen en beperkte vereiste bevoegdheden kan een aanvaller gebruik maken van deze kwetsbaarheid.
Aanbevelingen
- Update uw Liferay Portal en DXP installaties naar de nieuwste versies die deze kwetsbaarheid oplossen.
- Controleer de configuraties in uw Asset Publisher om te zorgen dat alle invoer veilig wordt verwerkt.
Bronnen
Meer informatie over deze kwetsbaarheid is te vinden op de Liferay Beveiligingsadviezen pagina.
Vraag en Antwoord
Wat is CVE-2025-43744?
Het betreft een beveiligingslek in Liferay Portal en DXP dat gedetecteerd is als een Cross-Site Scripting (XSS) kwetsbaarheid waarbij via de Source.js module JavaScript code kan worden geïnjecteerd.
Welke systemen zijn kwetsbaar voor CVE-2025-43744?
Liferay Portal versies 7.4.0 tot en met 7.4.3.132 en Liferay DXP versies tot en met 2025.Q2.5 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er wordt geadviseerd om te updaten naar een nieuwere versie zodra beschikbaar om deze kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk kwaadaardige JavaScript injecteren dat draait binnen de context van de gebruiker die de website bezoekt, zonder dat die gebruiker hiervan bewust is.
