Plateforme
java
Composant
com.liferay.portal:com.liferay.portal.impl
Corrigé dans
7.4.4
7.3.11
7.4.14
2023.0.1
2023.0.1
97.0.0
La vulnérabilité CVE-2025-62254 est une faille de déni de service (DoS) présente dans Liferay Portal et Liferay DXP. Elle affecte les versions 7.4.0 à 7.4.3.111, ainsi que les versions antérieures non prises en charge. Un attaquant peut exploiter cette faille pour provoquer un déni de service en créant des réponses excessivement volumineuses via la chaîne de requête URL, rendant le système indisponible.
Cette vulnérabilité permet à un attaquant distant de provoquer un déni de service sur un serveur Liferay Portal. L'attaquant peut exploiter la ComboServlet pour créer des requêtes combinées très volumineuses, ce qui surcharge le serveur et l'empêche de répondre aux requêtes légitimes. L'impact peut aller de la simple indisponibilité temporaire du portail à une interruption de service plus prolongée, affectant potentiellement les utilisateurs et les applications qui dépendent de Liferay. Bien que la vulnérabilité ne permette pas l'exécution de code arbitraire, la perturbation du service peut avoir des conséquences significatives pour les entreprises qui s'appuient sur Liferay pour leurs opérations.
Cette vulnérabilité a été publiée le 24 octobre 2025. Aucune preuve d'exploitation active n'a été signalée à ce jour. La probabilité d'exploitation est considérée comme modérée, compte tenu de la nature relativement simple de l'exploitation et de la large surface d'attaque potentielle. Il est recommandé de surveiller les sources d'informations sur les menaces pour détecter d'éventuelles activités malveillantes.
Organizations running Liferay Portal or Liferay DXP in production environments are at risk. Specifically, deployments using older, unsupported versions or those that have not applied recent updates are particularly vulnerable. Shared hosting environments where multiple tenants share the same Liferay instance may also be affected, as an attacker could potentially exploit the vulnerability to impact other tenants.
• linux / server: Monitor Liferay Portal logs for unusual activity related to the ComboServlet. Look for requests with extremely long URLs or large file sizes. Use journalctl -u liferay to filter for relevant log entries.
journalctl -u liferay | grep "ComboServlet" | grep -i "large file"• generic web: Use curl to test the ComboServlet endpoint with a crafted URL containing a large number of files or a very large file. Monitor server resource usage (CPU, memory) during the test.
curl 'http://your-liferay-portal/alfresco/service/api/combo?client=portal&c=combo&comboType=file&file=file1.txt,file2.txt,file3.txt,...' -vdisclosure
Statut de l'Exploit
EPSS
0.20% (percentile 42%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour Liferay Portal vers la version 97.0.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures d'atténuation temporaires. Il est conseillé de limiter la taille maximale des réponses générées par la ComboServlet via la configuration du serveur. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes malveillantes. Surveillez attentivement les journaux du serveur pour détecter les activités suspectes, telles que des requêtes combinées anormalement volumineuses.
Actualice Liferay Portal a una versión posterior a 7.4.3.111 o a la última versión disponible de Liferay DXP. Esto corregirá la vulnerabilidad de denegación de servicio en el ComboServlet.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62254 is a denial-of-service vulnerability in Liferay Portal 7.4 and DXP, allowing attackers to exhaust server resources via crafted URL requests to the ComboServlet.
You are affected if you are running Liferay Portal versions ≤96.0.0 or Liferay DXP versions 2023.Q4.0 through 2023.Q4.2, 2023.Q3.1 through 2023.Q3.5, 7.4 GA through update 92, 7.3 GA through update 35, and older unsupported versions.
Upgrade to Liferay Portal version 97.0.0 or later. As a temporary workaround, implement rate limiting or WAF rules to restrict requests to the ComboServlet.
No active exploitation campaigns have been confirmed, but the ease of exploitation suggests a potential for opportunistic attacks.
Refer to the official Liferay security advisory for CVE-2025-62254 on the Liferay website (link to be added when available).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.