Een cross-site scripting (XSS) kwetsbaarheid is ontdekt in Liferay Portal van versie 7.4.0 tot en met 7.4.3.132, en Liferay DXP van 2024.Q1.1 tot en met 2025.Q2.8. Deze kwetsbaarheid stelt een externe geauthenticeerde gebruiker in staat om JavaScript-code te injecteren via de _com_liferay_expando_web_portlet_ExpandoPortlet_displayType parameter. Hierdoor kan potentieel schadelijke code worden uitgevoerd zonder dat de gebruiker daarvan op de hoogte is.
De kwetsbaarheid heeft een CVSS-score van 5.1, wat het een medium ernstniveau geeft. Het is van cruciaal belang dat organisaties passende maatregelen treffen om beveiligingsrisico’s te verminderen.
Overzicht
Deze kwetsbaarheid bevindt zich in de volgende producten:
- Liferay Portal, versies van 7.4.0 tot en met 7.4.3.132
- Liferay DXP, versies van 2024.Q1.1 tot en met 2025.Q2.8
Aanbevelingen
We raden ten zeerste aan om de nieuwste versies van Liferay Portal en Liferay DXP zo snel mogelijk te implementeren. Updates van de leverancier bieden correcties voor deze kwetsbaarheid.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-43738?
CVE-2025-43738 beschrijft een XSS-kwetsbaarheid waarmee een geauthenticeerde gebruiker kwaadaardige JavaScript-code in Liferay Portal en DXP kan injecteren.
Welke systemen zijn kwetsbaar voor CVE-2025-43738?
Alle Liferay Portal versies 7.4.0 tot en met 7.4.3.132 en Liferay DXP versies 2024.Q1.1 tot en met 2025.Q2.8 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, Liferay heeft patches uitgebracht voor deze specifieke kwetsbaarheid. Het wordt sterk aanbevolen om deze updates zo snel mogelijk te installeren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke JavaScript-code injecteren die kan worden uitgevoerd in de context van de gebruiker, wat kan leiden tot ongeautoriseerde toegang tot gevoelige informatie.
