Er is een nieuwe kwetsbaarheid ontdekt onder CVE-2025-43752 waardoor gebruikers onbeperkt bestanden kunnen uploaden via de objectbijlagen binnen Liferay Portal en DXP. Dit kan leiden tot potentiele DDoS-aanvallen. Het lek betreft Liferay Portal versies 7.4.0 tot 7.4.3.132 en Liferay DXP versies 2025.Q1.0 tot 2025.Q1.4.
Overzicht
Liferay Portal 7.4.0 tot 7.4.3.132 en diverse versies van Liferay DXP staan gebruikers toe om onbeperkt bestanden te uploaden naar de document_library. Hierdoor kunnen aanvallers via netwerkaanvallen een potentiële DDoS uitvoeren. Er zijn geen vereiste gebruikersprivileges en gebruikersinteractie is passief.
Aanbevelingen
- Controleer uw huidige Liferay Portal en DXP versies en update deze onmiddellijk indien ze gevat zijn in het kwetsbare spectrum.
- Beperk ongewenste bestand-uploadmogelijkheden binnen uw systeem waar mogelijk.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-43752?
Dit betreft een kwetsbaarheid die onbeperkte bestand-upload toestaat via bepaalde velden in Liferay-producten, leidend tot mogelijke DDoS.
Welke systemen zijn kwetsbaar voor CVE-2025-43752?
Liferay Portal (7.4.0 t/m 7.4.3.132) en Liferay DXP binnen bepaalde versie-intervallen zoals gespecificeerd, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Controleer de officiële Liferay-website of neem contact op met Liferay voor de laatste updates en patches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk uw systeem overbelasten door verkeer te genereren en daarmee een DDoS-aanval op te zetten.
Waarschuwing: deze kwetsbaarheid kan leiden tot onzichtbare toegang tot uw volledige netwerk.
