Kwetsbaarheid ontdekt: Cross-site Scripting (XSS) in Liferay Portal en DXP – CVE-2025-43753
Geplaatst inBeveiligingsmeldingen

Kwetsbaarheid ontdekt: Cross-site Scripting (XSS) in Liferay Portal en DXP – CVE-2025-43753

Een kritieke kwetsbaarheid, aangeduid als CVE-2025-43753, is ontdekt in Liferay Portal versies 7.4.3.32 tot 7.4.3.132 en Liferay DXP versies 2025.Q1.0 tot 2025.Q1.7, evenals enkele eerdere updates. Deze kwetsbaarheid stelt een remote geauthenticeerde gebruiker in staat om JavaScript in te voegen in het ingebedde berichtenveld van de formuliercontainer.

De kwetsbaarheid maakt gebruik van gereflecteerde cross-site scripting (XSS), waardoor kwaadwillende code kan worden uitgevoerd in de browsers van andere gebruikers. Dit kan leiden tot ongewenste acties zoals het stelen van sessiegegevens of verder misbruik van toegangsrechten.

Overzicht

De kwetsbaarheid heeft als oorzaak een onjuiste neutralisatie van gebruikersinvoer tijdens de gegenereerde webpagina’s, geclassificeerd als CWE-79. Ondanks de lage basisimpactscore van 2.1 volgens het CVSS 4.0 systeem, bevat de kwetsbaarheid een hoge complexiteit en vereist het voor een aanvaller verhoogde privileges.

Aanbevelingen

  • Controleer of uw systemen opereren op de kwetsbare versies en plan een update naar de meest recente gepatchte releases.
  • Informeer gebruikers om extra voorzichtig te zijn met invoer van externe bronnen.

Bronnen

Vraag en Antwoord

Wat is CVE-2025-43753?

Dit is een kwetsbaarheid van het type cross-site scripting (XSS) die voorkomt in specifieke versies van Liferay Portal en DXP.

Welke systemen zijn kwetsbaar voor CVE-2025-43753?

Liferay Portal van versies 7.4.3.32 tot 7.4.3.132 en Liferay DXP van 2025.Q1.0 tot 2025.Q1.7 en bepaalde eerdere versies zijn kwetsbaar.

Bestaat er al een patch of beveiligingsupdate?

Er is nog geen specifieke patch aangekondigd; controleer regelmatig voor updates van Liferay en voer deze onmiddellijk uit.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan potentieel kwaadwillende scripts injecteren die uitgevoerd worden in de browser van gebruikers, wat kan leiden tot gegevensdiefstal of verdere compromittering van het systeem.

Waarschuwing: Aangezien de aanval complex is en verhoogde privileges vereist, is het cruciaal om de toegang van gebruikers tot gevoelige systemen te beperken.

Tags: