Liferay PortalにおけるXugglerのダウンロードとインストール時のパス・トラバーサル脆弱性

この脆弱性は、Liferay PortalのcomliferayserveradminwebportletServerAdminPortletjarNameパラメータを介して、攻撃者がサーバー上の任意の場所にファイルを書き込み、実行できることを意味します。これにより、攻撃者は機密情報を盗み出したり、マルウェアをインストールしたり、システムを完全に制御したりすることが可能になります。特に、Xugglerのインストールプロセスが脆弱であるため、攻撃者は悪意のあるXugglerライブラリをアップロードし、システムに侵入する可能性があります。この脆弱性は、Liferay Portalのセキュリティを著しく損なう重大なリスクとなります。

Organizations running Liferay Portal or DXP in production environments, particularly those with older, unsupported versions, are at significant risk. Shared hosting environments where multiple users share the same server are also vulnerable, as a compromised user account could be used to exploit this vulnerability and impact other users on the same server. Legacy configurations with default settings or weak access controls are also more susceptible.

• java / server: Monitor Liferay Portal logs for suspicious file upload attempts or errors related to path traversal. Look for unusual file names or paths in the logs.

 grep -i "path traversal" /path/to/liferay/logs/liferay.log

• java / supply-chain: Examine JAR files deployed to the Liferay Portal server for signs of malicious code or unexpected dependencies. Use static analysis tools to scan for vulnerabilities. • generic web: Monitor web server access logs for requests targeting the comliferayserveradminwebportletServerAdminPortletjarName parameter with unusual or potentially malicious file names.

 grep "_com_liferay_server_admin_web_portlet_ServerAdminPortlet_jarName" /path/to/access.log

1. 2025-06-16Disclosure

   disclosure

2. 2025-06-16Patch

   patch

1. 予約済み2025-04-14
2. 公開日2025-06-16
3. EPSS 更新日2026-03-23

この脆弱性への対応として、まずLiferay Portalをバージョン5.0.24以降にアップデートすることを強く推奨します。アップデートが困難な場合は、Xugglerのダウンロードとインストールを一時的に無効化するなどの回避策を検討してください。また、ファイアウォールやWebアプリケーションファイアウォール（WAF）を使用して、悪意のあるリクエストをブロックすることも有効です。Liferay Portalのアクセスログを監視し、不審なアクティビティがないか確認することも重要です。アップデート後、Liferay Portalのセキュリティ設定を再確認し、不要な機能やポートを無効化することで、攻撃対象領域を縮小できます。