Er is een kritieke cross-site scripting (XSS) kwetsbaarheid ontdekt in de Liferay Portal versie 7.4.3.132 en Liferay DXP versies van 2025.Q1.0 tot 2025.Q1.15, 2025.Q2.0 tot 2025.Q2.2, en 2024.Q1.13 tot 2024.Q1.19. Met deze kwetsbaarheid kan een externe geauthenticeerde gebruiker JavaScript-code injecteren via de snippet-parameter, wat de integriteit en vertrouwelijkheid van uw gegevens in gevaar kan brengen.
Een CVE-2025-43756 aanval kan uitgevoerd worden door slechts netwerktoegang zonder enige specifieke privileges, wat het risico aanzienlijk verhoogt. De urgentie voor updates en beveiligingsmaatregelen is dan ook groot.
Overzicht
De kwetsbaarheid maakt het mogelijk voor een aanvaller om kwaadaardige code in te voegen, wat ernstige gevolgen kan hebben voor de gebruikers van de betreffende Liferay-producten. De kwetsbaarheid is eenvoudig te exploiteren vanwege de lage complexiteit en vereist geen gebruikersinteractie.
Aanbevelingen
- Controleer en update onmiddellijk naar de nieuwste versie van de software om bescherming te bieden tegen deze kwetsbaarheid.
- Zorg ervoor dat uw Liferay-omgeving correct geconfigureerd is om het aanvallen te bemoeilijken.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-43756?
Het is een XSS-kwetsbaarheid die gebruikerscode via de snippet-parameter injecteert in specifieke Liferay Portal en DXP versies.
Welke systemen zijn kwetsbaar?
Systemen die draaien op Liferay Portal versie 7.4.3.132 en Liferay DXP versies binnen de genoemde versiereeksen.
Bestaat er al een patch of beveiligingsupdate?
Het wordt aanbevolen om onmiddellijk te upgraden naar een gepatchte versie zodra deze beschikbaar is.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke JavaScript-inhoud injecteren die de data-integriteit en privacy kan compromitteren.
