プラットフォーム
java
コンポーネント
com.liferay.portal:release.portal.bom
修正版
7.4.4
7.4.14
7.3.11
7.2.11
7.4.3.5
CVE-2024-25603 は、Liferay Portal および Liferay DXP の Dynamic Data Mapping (DDMForm) モジュールにおける保存型クロスサイトスクリプティング (XSS) の脆弱性です。この脆弱性を悪用されると、認証された攻撃者は instanceId パラメータを介して悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることが可能です。影響を受けるバージョンは Liferay Portal 7.2.0 ~ 7.4.3.4 および Liferay DXP 7.4.13 以前です。7.4.3.5 以降のバージョンで修正されています。
この XSS 脆弱性は、攻撃者が認証されたユーザーになりすまして、機密情報を盗んだり、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、ウェブサイトの見た目を改ざんしたりすることを可能にします。攻撃者は、DDMForm の instanceId パラメータに悪意のある JavaScript コードを注入することで、ユーザーのセッション Cookie を盗み、他のユーザーの権限を乗っ取る可能性があります。また、この脆弱性は、Liferay Portal の管理コンソールへの不正アクセスや、機密データの漏洩につながる可能性があります。この脆弱性の影響範囲は広範囲に及び、Liferay Portal を利用している組織全体に影響を及ぼす可能性があります。
CVE-2024-25603 は、2024年2月21日に公開されました。現時点では、この脆弱性を悪用した公開されている PoC は確認されていませんが、XSS 脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEV カタログへの登録状況は不明です。この脆弱性は、認証された攻撃者が悪用できるため、攻撃の可能性は中程度であると考えられます。
Organizations using Liferay Portal and DXP in environments where authenticated users have access to the Dynamic Data Mapping module are at risk. This includes businesses utilizing Liferay for content management, intranet portals, and customer experience platforms. Legacy Liferay installations running unsupported versions are particularly vulnerable due to lack of security updates.
• linux / server: Examine Liferay Portal access logs for suspicious requests targeting the DDMForm with unusual parameters in the instanceId field. Use grep to search for patterns like <script> or javascript: within these requests.
grep -i '<script' /path/to/liferay/portal/logs/access.log• generic web: Use curl to test the DDMForm endpoint with a simple XSS payload in the instanceId parameter and observe the response for signs of script execution.
curl -X POST -d "instanceId=<script>alert('XSS')</script>" <liferay_portal_url>/ddm/forms/<form_id>• java: Monitor Liferay Portal's internal logging for errors related to DDMForm processing or unexpected script execution. Analyze stack traces for clues related to the vulnerability. • wordpress / composer / npm: N/A - This vulnerability is specific to Liferay Portal, not WordPress or its dependencies. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability is not related to database systems.
disclosure
patch
エクスプロイト状況
EPSS
0.15% (36% パーセンタイル)
CVSS ベクトル
この脆弱性への対応策として、まず Liferay Portal および Liferay DXP を 7.4.3.5 以降のバージョンにアップグレードすることを推奨します。アップグレードが困難な場合は、一時的な回避策として、DDMForm の instanceId パラメータに対する入力検証を強化し、悪意のあるスクリプトの注入を防止する必要があります。また、Web Application Firewall (WAF) を導入し、XSS 攻撃を検知・防御することも有効です。Liferay Portal のログを監視し、不審なアクティビティを検出することも重要です。アップグレード後、DDMForm の動作を検証し、脆弱性が修正されていることを確認してください。
このXSS脆弱性に対する修正が含まれる最新のLiferay Portalバージョンにアップデートしてください。修正されたバージョンと具体的なアップデート手順については、Liferayのセキュリティアドバイザリを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-25603 は、Liferay Portal 7.2.0~7.4.3.4 および DXP 7.4.13 以前の Dynamic Data Mapping (DDMForm) モジュールにおける保存型クロスサイトスクリプティング (XSS) の脆弱性です。
Liferay Portal 7.2.0 ~ 7.4.3.4 および Liferay DXP 7.4.13 以前を使用している場合は、影響を受けます。7.4.3.5 以降にアップグレードしてください。
Liferay Portal および Liferay DXP を 7.4.3.5 以降のバージョンにアップグレードすることを推奨します。
現時点では公開されている PoC は確認されていませんが、XSS 脆弱性は一般的に悪用される可能性が高いため、注意が必要です。
Liferay のセキュリティアドバイザリページで確認できます。詳細は Liferay の公式ドキュメントを参照してください。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。