Onlangs is er een server-side request forgery (SSRF) kwetsbaarheid ontdekt in Liferay DXP versies 2025.Q2.0 tot en met 2025.Q2.3, aangeduid als CVE-2025-43747. Deze kwetsbaarheid maakt het mogelijk voor kwaadwillenden om via onveilige domeinvalidatie verzoeken uit te voeren zonder gedetecteerd te worden, waardoor er geen onderscheid wordt gemaakt tussen vertrouwde subdomeinen en kwaadaardige domeinen.
Overzicht
De impact van deze kwetsbaarheid is beoordeeld met een CVSS-score van 4.8, geclassificeerd als medium. Aanvallers kunnen misbruik maken via netwerktoegang met weinig complexiteit, zonder directe interactie van gebruikers. Echter, een hoge mate van privileges is nodig voor succesvolle uitbuiting.
Aanbevelingen
- Controleer en update uw Liferay DXP-installaties naar een versie die niet kwetsbaar is voor deze SSRF-problematiek.
- Implementeer strikt domeinbeleid dat onderscheid maakt tussen vertrouwde en niet-vertrouwde domeinen.
- Overweeg netwerkbeveiliging en monitoring om potentieel ongebruikelijke verzoekpatronen te detecteren.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-43747?
Deze CVE beschrijft een SSRF-kwetsbaarheid in Liferay DXP die een aanvaller toestaat malafide domeinen te benutten om aanvragen uit te voeren zonder geautoriseerde detectie.
Welke systemen zijn kwetsbaar voor CVE-2025-43747?
Liferay DXP versies van 2025.Q2.0 tot en met 2025.Q2.3 zijn kwetsbaar voor deze specifieke SSRF-aanval.
Bestaat er al een patch of beveiligingsupdate?
Nee, gezien het beschikbare aangeduide bereik, is het aanbevolen te upgraden naar latere, niet-kwetsbare versies.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan verzoeken versturen naar willekeurige domeinen waardoor ze toegang kunnen krijgen tot gevoelige bedrijfsgegevens en mogelijk verdere aanvallen kunnen uitvoeren op interne systemen.
