Een nieuw ontdekt beveiligingslek, aangeduid als CVE-2025-43758, treft gebruikers van zowel Liferay Portal als DXP. Dit kwetsbaarheid stelt niet-geauthenticeerde gebruikers (gasten) in staat om via een URL toegang te krijgen tot bestanden die zijn geüpload door objectinvoeringen en opgeslagen in de document_bibliotheek. Dit probleem, gezien in versies van Liferay Portal 7.4.0 tot 7.4.3.132 en Liferay DXP 2025.Q1.0 tot en met 2025.Q1.5, kan leiden tot ongeautoriseerde toegang.
Met een CVSS-basis score van 5.3 wordt het risico als middelmatig geclassificeerd, wat betekent dat een aanvaller vanaf een externe locatie gemakkelijk misbruik kan maken van de kwetsbaarheid zonder dat inloggen of andere interactie nodig is.
Overzicht
Liferay heeft bevestigd dat deze kwetsbaarheid zich bevindt in:
- Liferay Portal versies 7.4.0 t/m 7.4.3.132
- Liferay DXP versies 2025.Q1.0 t/m 2025.Q1.5, 2024.Q4.0 t/m 2024.Q4.7, 2024.Q3.1 t/m 2024.Q3.13, 2024.Q2.0 t/m 2024.Q2.13 en 2024.Q1.1 t/m 2024.Q1.15
Gebruikers moeten alert zijn omdat deze kwetsbaarheid nog niet is opgelost met een algemene patch.
Aanbevelingen
- Beperk toegang tot gevoelige bestanden via URL’s door specifieke configuraties in te stellen voor uw bibliotheek op Liferay Portal en DXP.
- Controleer regelmatig op officiële updates van Liferay die deze problemen mogelijk kunnen verhelpen.
Bronnen
Voor meer informatie en updates over deze kwetsbaarheid, bezoek de officiële pagina van Liferay.
Vraag en Antwoord
Wat is CVE-2025-43758?
CVE-2025-43758 is een beveiligingslek dat het mogelijk maakt voor niet-geauthenticeerde gebruikers om toegang te krijgen tot bestanden die mogelijk gevoelige informatie bevatten. Het treft specifiek gebruikers van Liferay Portal en DXP.
Welke systemen zijn kwetsbaar voor CVE-2025-43758?
Systemen die draaien op Liferay Portal versies 7.4.0 t/m 7.4.3.132 en specifieke versies van Liferay DXP zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment zijn er geen specifieke patches of beveiligingsupdates vrijgegeven door Liferay.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw weten toegang krijgen tot bestanden die normaal niet publiekelijk toegankelijk zouden moeten zijn, wat uw bedrijf vatbaar maakt voor datalekken.
