Een opgeslagen cross-site scripting kwetsbaarheid is ontdekt in Liferay Portal versie 7.4.0 tot 7.4.3.132 en Liferay DXP versies 2025.Q2.0, 2025.Q1.0 tot 2025.Q1.13, 2024.Q4.0 tot 2024.Q4.7, 2024.Q3.0 tot 2024.Q3.13, 2024.Q2.0 tot 2024.Q2.13, 2024.Q1.1 tot 2024.Q1.17 en 7.4 GA tot update 92. Deze kwetsbaarheid kan een externe geauthenticeerde aanvaller in staat stellen om JavaScript in te voegen in de _com_liferay_layout_admin_web_portlet_GroupPagesPortlet_type parameter.
Met een CVSS score van 5.1 wordt de kwetsbaarheid als gemiddeld ernstig beschouwd. Aangezien een aanvaller hoge privileges nodig heeft, vormt dit een potentieel risico voor organisaties die Liferay gebruiken in hun IT-omgeving.
Overzicht
Deze specifieke kwetsbaarheid (CVE-2025-43755) laat een externe geauthenticeerde aanvaller JavaScript code injecteren. Dit kan leiden tot misbruik van sessies en toegang geven tot vertrouwelijke informatie binnen het Liferay platform. De ontdekking is gemeld door de onderzoeker NDIX, wat de urgentie van een snelle remedie verhoogt.
Aanbevelingen
- Upgrade Liferay Portal naar een versie hoger dan 7.4.3.132.
- Update Liferay DXP naar een nieuwere release dan 2025.Q2.0 om de kwetsbaarheid aan te pakken.
- Controleer regelmatig op beveiligingsupdates van Liferay en pas deze onmiddellijk toe.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-43755?
Het is een bekende beveiligingskwetsbaarheid waarbij een geauthenticeerde gebruiker kan profiteren van een cross-site scripting fout in Liferay Portal en DXP.
Welke systemen zijn kwetsbaar voor CVE-2025-43755?
Systemen die Liferay Portal versie 7.4.0 tot 7.4.3.132 of Liferay DXP specifieke updates draaien, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het is aan te raden om te upgraden naar versies boven 7.4.3.132 voor Portal en na 2025.Q2.0 voor DXP.
Wat kan een aanvaller met deze kwetsbaarheid doen?
Een aanvaller kan schadelijke scripts injecteren, waardoor vertrouwelijke gegevens in het gedrang komen of sessies worden gekaapt.
