CVE-2025-43754: Kwetsbaarheid voor gebruikersnaam-opsporing in Liferay Portal en DXP
Geplaatst inBeveiligingsmeldingen

CVE-2025-43754: Kwetsbaarheid voor gebruikersnaam-opsporing in Liferay Portal en DXP

Er is een beveiligingsprobleem geïdentificeerd in Liferay Portal versies 7.4.0 tot en met 7.4.3.132 en Liferay DXP versies 2024.Q1.1 tot en met 2024.Q4.7. Deze kwetsbaarheid, geclassificeerd onder CVE-2025-43754, maakt het mogelijk voor aanvallers om te bepalen of een account bestaat in de applicatie door de verwerkingssnelheid van de inlogverzoeken op de server te analyseren.

Met een CVSS-score van 6.9 valt deze kwetsbaarheid in de categorie ‘medium’, waarbij er geen verhoogde rechten of gebruikersinteractie nodig is. Dit verhoogt het risico op potentiële misbruik, aangezien aanvallers via het netwerk toegang tot deze informatie kunnen krijgen zonder gecompliceerde aanvallen uit te voeren.

Overzicht

Deze kwetsbaarheid is het resultaat van een observeerbare timing-verschil (CWE-208) die toestaat dat aanvallers onderscheiden of specifieke gebruikersaccounts bestaan binnen de Liferay Portal of DXP omgeving. Met het analyseren van de responstijd op inlogverzoeken kan een kwaadwillende gebruiker snel bepalen of een gebruikersnaam bekend is in het systeem.

Aanbevelingen

  • Controleer of uw Liferay Portal of DXP omgeving kwetsbaar is door te bevestigen of u binnen de getroffene versies valt: Liferay Portal 7.4.0 tot 7.4.3.132 of Liferay DXP 2024 versies zoals vermeld.
  • Raadpleeg de Liferay beveiligingsbulletins en overweeg updates of patches toe te passen indien beschikbaar.

Bronnen

Vraag en Antwoord

Wat is CVE-2025-43754?

CVE-2025-43754 is een beveiligingslek dat gebruikersnaam-opsporing mogelijk maakt via timingverschillen bij het verwerking van inlogverzoeken.

Welke systemen zijn kwetsbaar?

Liferay Portal versies 7.4.0 tot 7.4.3.132 en Liferay DXP versies 2024.Q1.1 tot en met 2024.Q4.7 zijn kwetsbaar.

Bestaat er al een patch of beveiligingsupdate?

Het wordt aanbevolen de officiële Liferay website en beveiligingsbulletins te raadplegen voor eventuele patches of oplossingen.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan bepalen of specifieke gebruikersnamen bestaan in het systeem door te letten op het tijdsverschil bij inlogverwerking.

Tags: