Een kritiek beveiligingslek, aangeduid als CVE-2025-4599, is recentelijk ontdekt in de fragment preview-functionaliteit van Liferay Portal en DXP. Deze kwetsbaarheid stelt een externe, niet-geauthenticeerde aanvaller in staat om JavaScript in te voegen via het portlet-URL van de fragmenten, wat leidt tot een postMessage-gebaseerde cross-site scripting (XSS)-aanval.
De kwetsbaarheid beïnvloedt meerdere versies, inclusief Liferay Portal 7.4.3.61 tot 7.4.3.132 en verschillende releases van Liferay DXP, waardoor een groot aantal implementaties potentieel risico loopt.
Overzicht
De XSS-kwetsbaarheid ontstaat door de ontoereikende neutralisatie van invoer tijdens de webpagina-generatie, gecategoriseerd onder CWE-79. Hoewel de basisimpact beperkt is tot lage confidentialiteit en integriteit, vereenvoudigt de lage complexiteit ervan potentiële aanvallen.
Aanbevelingen
- Controleer en update uw Liferay systemen naar de nieuwste versies die niet door deze kwetsbaarheid zijn getroffen.
- Implementeer netwerkbeveiligingsmaatregelen om externe, niet-geauthenticeerde toegang tot uw Liferay-omgeving te beperken.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-4599?
CVE-2025-4599 is een kritiek beveiligingslek dat een postMessage-gebaseerde XSS-aanval mogelijk maakt in bepaalde versies van Liferay Portal en DXP.
Welke systemen zijn kwetsbaar voor CVE-2025-4599?
Liferay Portal versies 7.4.3.61 tot 7.4.3.132 en verschillende Liferay DXP reizendreleases zoals 2024.Q1, Q2, Q3, en Q4 die zich binnen de beschreven versiebereiken bevinden.
Bestaat er al een patch of beveiligingsupdate?
Gebruikers wordt geadviseerd om hun systemen bij te werken naar niet-getroffen versies zodra deze beschikbaar zijn om deze kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan deze kwetsbaarheid misbruiken om ongeautoriseerde JavaScript uit te voeren in de context van de kwetsbare applicatie, mogelijk gevoelige gebruikersgegevens in gevaar brengend.
