Kostenlos scannen
CRITICALCVE-2024-25601CVSS 9

Stored cross-site scripting (XSS) vulnerability in Expando module's geolocation custom fields in Liferay Portal 7.2.0 through 7.4.2, and older unsupported versions, and Liferay DXP 7.3 before service

wird übersetzt…

Plattform

java

Komponente

expando

Behoben in

7.4.3

7.3.11

7.2.11

AI Confidence: highNVDEPSS 0.2%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2024-25601 describes a stored cross-site scripting (XSS) vulnerability affecting the Expando module's geolocation custom fields in Liferay Portal. This vulnerability allows remote, authenticated users to inject arbitrary web scripts or HTML, potentially leading to account takeover or defacement. The vulnerability impacts versions 7.2.0 through 7.4.2, as well as older unsupported versions and Liferay DXP versions prior to service pack 3 for 7.3 and fix pack 17 for 7.2. A fix is available in version 7.4.3.

Java / Maven

Erkenne diese CVE in deinem Projekt

Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

pom.xml hochladenUnterstützte Formate: pom.xml · build.gradle

Auswirkungen und Angriffsszenarienwird übersetzt…

Successful exploitation of CVE-2024-25601 allows an attacker to inject malicious JavaScript code into the Liferay Portal environment. This code can then be executed in the context of other authenticated users who view the affected geolocation custom field. The attacker could potentially steal session cookies, redirect users to phishing sites, or modify the content displayed on the portal. The blast radius extends to all authenticated users who interact with custom fields utilizing the geolocation feature. This vulnerability is particularly concerning given the prevalence of Liferay Portal in enterprise environments and the potential for widespread impact.

Ausnutzungskontextwird übersetzt…

CVE-2024-25601 was publicly disclosed on February 21, 2024. No known public proof-of-concept exploits are currently available, but the ease of exploitation inherent in XSS vulnerabilities suggests a high probability of exploitation if left unpatched. The vulnerability is not currently listed on the CISA KEV catalog. Given the CRITICAL severity and the wide adoption of Liferay Portal, organizations should prioritize patching.

Wer Ist Gefährdetwird übersetzt…

Organizations using Liferay Portal 7.2.0 through 7.4.2, particularly those with custom applications or integrations that heavily rely on geolocation custom fields, are at significant risk. Shared hosting environments where multiple users have access to Liferay Portal instances are also particularly vulnerable.

Erkennungsschrittewird übersetzt…

• linux / server:

journalctl -u liferay -g 'geolocation custom field' | grep -i '<script'

• generic web:

curl -I 'https://your-liferay-portal/your/geolocation/custom/field?name=<script>alert(1)</script>' | grep 'Content-Type: text/html'

Angriffszeitlinie

  1. Disclosure

    disclosure

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.15% (36% Perzentil)

CISA SSVC

Ausnutzungnone
Automatisierbarno
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H9.0CRITICALAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionRequiredOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityHighRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.

Betroffene Software

Komponenteexpando
HerstellerLiferay
Betroffener BereichBehoben in
7.2.0 – 7.4.27.4.3
7.3.10 – 7.3.10-dxp-27.3.11
7.2.10 – 7.2.10-dxp-167.2.11

Schwachstellen-Klassifikation (CWE)

CWE-79

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert

Mitigation und Workaroundswird übersetzt…

The primary mitigation for CVE-2024-25601 is to upgrade to Liferay Portal version 7.4.3 or later. If upgrading immediately is not feasible, consider restricting access to the geolocation custom fields or implementing strict input validation on the 'name' text field. Web application firewalls (WAFs) configured to detect and block XSS payloads targeting custom fields can provide an additional layer of defense. Monitor Liferay logs for suspicious activity, particularly attempts to inject script tags or event handlers into custom field names. After upgrading, confirm the fix by attempting to inject a simple XSS payload into a geolocation custom field and verifying that it is properly sanitized.

So behebenwird übersetzt…

Actualice Liferay Portal a la versión más reciente. Para Liferay DXP 7.3, actualice al service pack 3 o posterior. Para Liferay DXP 7.2, actualice al fix pack 17 o posterior. Esto solucionará la vulnerabilidad XSS almacenada en los campos personalizados de geolocalización del módulo Expando.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2024-25601 — XSS in Liferay Portal 7.2 - 7.4.2?

CVE-2024-25601 is a critical stored cross-site scripting (XSS) vulnerability in Liferay Portal versions 7.2.0 through 7.4.2, allowing authenticated users to inject malicious scripts.

Am I affected by CVE-2024-25601 in Liferay Portal 7.2 - 7.4.2?

If you are running Liferay Portal versions 7.2.0 through 7.4.2, or older unsupported versions, and Liferay DXP versions prior to service pack 3 for 7.3 and fix pack 17 for 7.2, you are potentially affected.

How do I fix CVE-2024-25601 in Liferay Portal 7.2 - 7.4.2?

Upgrade to Liferay Portal version 7.4.3 or later to remediate the vulnerability. Consider input validation and WAF rules as interim measures.

Is CVE-2024-25601 being actively exploited?

While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation if left unpatched.

Where can I find the official Liferay advisory for CVE-2024-25601?

Refer to the official Liferay security advisory for detailed information and mitigation steps: [https://liferay.com/portal/security-advisories](https://liferay.com/portal/security-advisories)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen