Liferay Portal en DXP zijn getroffen door een grote beveiligingslek (CVE-2025-43766) waardoor onbeperkte bestanduploads mogelijk zijn. Hierdoor kunnen aanvallers mogelijk willekeurige code uitvoeren binnen uw omgeving. Dit is een kritiek lek dat onmiddellijke aandacht vereist.
De kwetsbaarheid is ontdekt in versies van Liferay Portal 7.4.0 tot 7.3.3.131 en Liferay DXP 2024.Q4.0, 2024.Q3.1 tot 2024.Q3.13, 2024.Q2.0 tot 2024.Q2.13, 2024.Q1.1 tot 2024.Q1.12 en 7.4 GA tot update 92.
Overzicht
De kwetsbaarheid betreft de onbeperkte upload van bestanden in de stylboekencomponent van Liferay, wat leidt tot de mogelijkheid van willekeurige code-executie. Dit betekent dat een aanvaller met hoge privileges en weinig aanvullende vereisten schadelijke bestanden kan uploaden die in de omgeving worden verwerkt.
Aanbevelingen
- Controleer of uw versie van Liferay Portal of DXP binnen de getroffen reeks valt.
- Update zo snel mogelijk naar een versie die niet kwetsbaar is.
Bronnen
Meer informatie over deze kwetsbaarheid is te vinden op de officiële Liferay beveiligingspagina.
Vraag en Antwoord
Wat is CVE-2025-43766?
Dit is een kwetsbaarheid in Liferay Portal en DXP waardoor onbeperkte bestanduploads en uiteindelijk willekeurige code-executie mogelijk is.
Welke systemen zijn kwetsbaar voor CVE-2025-43766?
De getroffen versies omvatten Liferay Portal 7.4.0 tot 7.3.3.131 en Liferay DXP versies genoemd in het overzicht.
Bestaat er al een patch of beveiligingsupdate?
Controleer regelmatig voor updates en patches van Liferay om deze kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan bestanden uploaden die gebruikt kunnen worden om schadelijke activiteiten op uw netwerk uit te voeren of uw omgeving te compromitteren.
