प्लेटफ़ॉर्म
java
घटक
com.liferay.portal:com.liferay.portal.impl
में ठीक किया गया
7.4.4
7.3.11
7.4.14
2023.0.1
2023.0.1
97.0.0
CVE-2025-62254 Liferay Portal में एक अस्वीकार सेवा (DoS) भेद्यता है। यह भेद्यता हमलावरों को URL क्वेरी स्ट्रिंग के माध्यम से बहुत बड़ी प्रतिक्रियाएँ उत्पन्न करने की अनुमति देती है, जिससे सिस्टम ओवरलोड हो सकता है और सेवा से इनकार हो सकता है। यह भेद्यता Liferay Portal के संस्करण 7.4.0 से 7.4.3.111 और पुराने असुरक्षित संस्करणों को प्रभावित करती है। 97.0.0 संस्करण में इस समस्या का समाधान किया गया है।
यह भेद्यता Liferay Portal के प्रदर्शन को गंभीर रूप से प्रभावित कर सकती है, जिससे सिस्टम अनुपलब्ध हो सकता है। हमलावर URL क्वेरी स्ट्रिंग में बड़ी संख्या में फ़ाइलों को संयोजित करने का अनुरोध करके DoS हमला कर सकते हैं। इससे सर्वर संसाधनों की अत्यधिक खपत हो सकती है, जिससे वैध उपयोगकर्ताओं के लिए सेवा बाधित हो सकती है। इस भेद्यता का फायदा उठाकर हमलावर संवेदनशील डेटा तक पहुंचने या सिस्टम को नियंत्रित करने का प्रयास नहीं कर सकते हैं, लेकिन यह सिस्टम की उपलब्धता को गंभीर रूप से प्रभावित कर सकता है।
CVE-2025-62254 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह संभावित रूप से शोषण योग्य है। इस भेद्यता को CISA KEV सूची में जोड़ा जाना बाकी है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
Organizations running Liferay Portal or Liferay DXP in production environments are at risk. Specifically, deployments using older, unsupported versions or those that have not applied recent updates are particularly vulnerable. Shared hosting environments where multiple tenants share the same Liferay instance may also be affected, as an attacker could potentially exploit the vulnerability to impact other tenants.
• linux / server: Monitor Liferay Portal logs for unusual activity related to the ComboServlet. Look for requests with extremely long URLs or large file sizes. Use journalctl -u liferay to filter for relevant log entries.
journalctl -u liferay | grep "ComboServlet" | grep -i "large file"• generic web: Use curl to test the ComboServlet endpoint with a crafted URL containing a large number of files or a very large file. Monitor server resource usage (CPU, memory) during the test.
curl 'http://your-liferay-portal/alfresco/service/api/combo?client=portal&c=combo&comboType=file&file=file1.txt,file2.txt,file3.txt,...' -vdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.20% (42% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-62254 को कम करने के लिए, Liferay Portal को संस्करण 97.0.0 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो अस्थायी रूप से URL क्वेरी स्ट्रिंग में फ़ाइलों की संख्या और आकार को सीमित करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें। इसके अतिरिक्त, ComboServlet के लिए इनपुट सत्यापन को मजबूत करने पर विचार करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम की कार्यक्षमता का परीक्षण करें।
Actualice Liferay Portal a una versión posterior a 7.4.3.111 o a la última versión disponible de Liferay DXP. Esto corregirá la vulnerabilidad de denegación de servicio en el ComboServlet.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-62254 Liferay Portal में एक अस्वीकार सेवा (DoS) भेद्यता है जो हमलावरों को URL क्वेरी स्ट्रिंग के माध्यम से बहुत बड़ी प्रतिक्रियाएँ उत्पन्न करने की अनुमति देती है, जिससे सिस्टम ओवरलोड हो सकता है।
यदि आप Liferay Portal के संस्करण 7.4.0 से 7.4.3.111 या पुराने असुरक्षित संस्करणों का उपयोग कर रहे हैं (≤96.0.0), तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-62254 को ठीक करने के लिए, Liferay Portal को संस्करण 97.0.0 या बाद के संस्करण में तुरंत अपडेट करें।
CVE-2025-62254 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह संभावित रूप से शोषण योग्य है।
आप Liferay Portal सलाहकार को यहां पा सकते हैं: [Liferay Portal Advisory URL - Replace with actual URL]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।