Liferay Portal में Xuggler डाउनलोड और इंस्टॉलेशन के साथ पाथ ट्रावर्सल भेद्यता

यह भेद्यता हमलावरों के लिए Liferay Portal सर्वर पर अनधिकृत पहुंच प्राप्त करने का मार्ग खोलती है। हमलावर मनमाने स्थानों पर फ़ाइलें जोड़ सकते हैं, जिससे सिस्टम की अखंडता से समझौता हो सकता है। वे डाउनलोड सर्वर से मनमाना फ़ाइलें भी डाउनलोड और निष्पादित कर सकते हैं, जिससे संभावित रूप से दुर्भावनापूर्ण कोड का निष्पादन हो सकता है और सर्वर का पूर्ण नियंत्रण हमलावर के हाथ में आ सकता है। यह भेद्यता Xuggler लाइब्रेरी के माध्यम से शोषण की जाती है, जो Liferay Portal में उपयोग की जाती है। इस भेद्यता का शोषण करने से डेटा चोरी, सिस्टम समझौता और सेवा से इनकार जैसे गंभीर परिणाम हो सकते हैं। यह भेद्यता Log4Shell जैसी अन्य भेद्यताओं के समान शोषण पैटर्न का उपयोग कर सकती है, जिससे यह और भी खतरनाक हो जाती है।

Organizations running Liferay Portal or DXP in production environments, particularly those with older, unsupported versions, are at significant risk. Shared hosting environments where multiple users share the same server are also vulnerable, as a compromised user account could be used to exploit this vulnerability and impact other users on the same server. Legacy configurations with default settings or weak access controls are also more susceptible.

• java / server: Monitor Liferay Portal logs for suspicious file upload attempts or errors related to path traversal. Look for unusual file names or paths in the logs.

 grep -i "path traversal" /path/to/liferay/logs/liferay.log

• java / supply-chain: Examine JAR files deployed to the Liferay Portal server for signs of malicious code or unexpected dependencies. Use static analysis tools to scan for vulnerabilities. • generic web: Monitor web server access logs for requests targeting the comliferayserveradminwebportletServerAdminPortletjarName parameter with unusual or potentially malicious file names.

 grep "_com_liferay_server_admin_web_portlet_ServerAdminPortlet_jarName" /path/to/access.log

1. 2025-06-16Disclosure

   disclosure

2. 2025-06-16Patch

   patch

1. आरक्षित2025-04-14
2. प्रकाशित2025-06-16
3. EPSS अद्यतन2026-03-23

CVE-2025-3594 के प्रभाव को कम करने के लिए, Liferay Portal को संस्करण 5.0.24 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग comliferayserveradminwebportletServerAdminPortletjarName पैरामीटर के लिए इनपुट को फ़िल्टर करने के लिए किया जा सकता है। इसके अतिरिक्त, Xuggler लाइब्रेरी के लिए फ़ाइल सिस्टम अनुमतियों को सीमित करने से भेद्यता के प्रभाव को कम करने में मदद मिल सकती है। Liferay Portal के कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करना और अनावश्यक सुविधाओं को अक्षम करना भी सुरक्षा को बेहतर बनाने में मदद कर सकता है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, सिस्टम की जांच करें।