Er is een belangrijke beveiligingskwetsbaarheid (CVE-2025-43746) vastgesteld in Liferay Portal en DXP. Deze kwetsbaarheid maakt het mogelijk voor een externe, geauthenticeerde aanvaller om kwaadaardige JavaScript-code in te voeren via specifieke parameters. Hierdoor kunnen gevoelige gegevens van gebruikers worden blootgesteld.
Overzicht
De kwetsbaarheid treft meerdere versies van Liferay Portal en DXP, waaronder de versies van 7.4.0 tot 7.4.3.132 van Portal en de versies van 2025.Q2.0 tot 2025.Q2.2 van DXP. Het betreft een reflected cross-site scripting (XSS) kwetsbaarheid.
Liferay Portal: <= 7.4.3.132 Liferay DXP: <= 7.4.13-u92, 2024.Q1.18, 2024.Q2.13, 2024.Q3.13, 2024.Q4.7, 2025.Q1.10, 2025.Q2.2
Aanbevelingen
- Controleer welke versie van Liferay Portal of DXP u momenteel in gebruik heeft.
- Upgrade direct naar een versie buiten de aangedane versies. Raadpleeg de officiële Liferay-website voor een passende update.
- Controleer de gebruikerstoegang en minimaliseer rechten waar nodig om verdere impact te beperken.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-43746?
Het is een cross-site scripting (XSS) kwetsbaarheid dat een aanvaller toestaat om JavaScript-code te injecteren in Liferay producten via specifieke namespace parameters.
Welke systemen zijn kwetsbaar voor CVE-2025-43746?
Liferay Portal versies 7.4.0 tot 7.4.3.132 en Liferay DXP versies binnen de vastgestelde kwetsbare reeksen zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, er zijn updates beschikbaar vanuit Liferay die deze kwetsbaarheid adresseren. Het is cruciaal om zo snel mogelijk te updaten.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan JavaScript-code uitvoeren in het gebruikersgedeelte van de website, wat kan leiden tot diefstal van sessietokens of andere vertrouwelijke informatie.
