Een nieuwe kwetsbaarheid met de code CVE-2025-43733, aangeduid als een gereflecteerde cross-site scripting (XSS) kwetsbaarheid, is ontdekt in de Liferay Portal versie 7.4.3.132 en Liferay DXP versies 2025.Q1.0 t/m 2025.Q1.7. Dit lek stelt een externe, geauthenticeerde aanvaller in staat om kwaadaardige JavaScript-code in te voegen via het naamveld van de inhoudspagina, waardoor schadelijke payloads gereflecteerd en uitgevoerd worden binnen de browser van de gebruiker.
Overzicht
De kwetsbaarheid, CVE-2025-43733, is gelokaliseerd binnen de processen van het genereren van webpagina’s en kan gevaarlijke gevolgen hebben voor de integriteit en vertrouwelijkheid van de betrokken systemen, ook al is de ernst beoordeeld als ‘laag’ met een CVSS score van 2.3.
Aanbevelingen
- Controleer of uw systemen de getroffen versies van Liferay Portal en DXP gebruiken en overweeg een update naar een niet-getroffen versie zodra deze beschikbaar is.
- Monitor het Liferay beveiligingsblog voor mogelijke beveiligingspatches en informatie over updates voor het veiligstellen van uw systemen.
Bronnen
Lees het volledige beveiligingsadvies van Liferay voor meer diepgaande details over deze kwetsbaarheid en specifieke maatregelen die kunnen worden genomen.
Vraag en Antwoord
Wat is CVE-2025-43733?
Het betreft een gereflecteerde cross-site scripting kwetsbaarheid binnen Liferay software versies, waardoor kwaadwillenden JavaScript-code kunnen injecteren die wordt uitgevoerd in de browsers van gebruikers.
Welke systemen zijn kwetsbaar voor CVE-2025-43733?
Systemen die gebruikmaken van Liferay Portal 7.4.3.132 en Liferay DXP 2025.Q1.0 tot 2025.Q1.7.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er nog geen patch beschikbaar. Gebruikers wordt aangeraden om de betreffende bronnen regelmatig te controleren voor updates.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan potentieel kwaadaardige scripts uitvoeren in de browsers van gebruikers, wat kan leiden tot gelekte gegevens of andere schadelijke acties.
