Platform
java
Component
com.liferay.portal:release.portal.bom
Opgelost in
7.4.4
7.4.14
7.3.11
7.2.11
7.4.3.5
CVE-2024-25603 beschrijft een opgeslagen Cross-Site Scripting (XSS) kwetsbaarheid in de Dynamic Data Mapping module van Liferay Portal. Deze kwetsbaarheid stelt geauthenticeerde, externe aanvallers in staat om willekeurige webscripts of HTML te injecteren. De kwetsbaarheid treft versies van Liferay Portal tot en met 7.4.3.4, evenals oudere niet-ondersteunde versies en Liferay DXP. Een upgrade naar versie 7.4.3.5 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot het stelen van gebruikersgegevens, het uitvoeren van kwaadaardige scripts in de context van een geauthenticeerde gebruiker, en het compromitteren van de integriteit van de Liferay Portal applicatie. Aanvallers kunnen bijvoorbeeld sessiecookies stelen om zich als andere gebruikers te voordoen, of kwaadaardige content injecteren om gebruikers om te leiden naar phishing-pagina's. De impact is aanzienlijk, vooral omdat Liferay Portal vaak wordt gebruikt voor kritieke bedrijfsapplicaties en -processen. Een vergelijkbare XSS-kwetsbaarheid in andere content management systemen heeft in het verleden geleid tot grootschalige datalekken en verstoring van de dienstverlening.
Deze kwetsbaarheid is openbaar bekend en heeft een hoge prioriteit vanwege de kritieke CVSS-score en de potentiële impact. Er zijn momenteel geen publiekelijk beschikbare exploits bekend, maar de eenvoud van de XSS-kwetsbaarheid maakt het waarschijnlijk dat er snel exploits beschikbaar komen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. Houd de officiële Liferay security advisories in de gaten voor updates over actieve uitbuitingen.
Organizations using Liferay Portal and DXP in environments where authenticated users have access to the Dynamic Data Mapping module are at risk. This includes businesses utilizing Liferay for content management, intranet portals, and customer experience platforms. Legacy Liferay installations running unsupported versions are particularly vulnerable due to lack of security updates.
• linux / server: Examine Liferay Portal access logs for suspicious requests targeting the DDMForm with unusual parameters in the instanceId field. Use grep to search for patterns like <script> or javascript: within these requests.
grep -i '<script' /path/to/liferay/portal/logs/access.log• generic web: Use curl to test the DDMForm endpoint with a simple XSS payload in the instanceId parameter and observe the response for signs of script execution.
curl -X POST -d "instanceId=<script>alert('XSS')</script>" <liferay_portal_url>/ddm/forms/<form_id>• java: Monitor Liferay Portal's internal logging for errors related to DDMForm processing or unexpected script execution. Analyze stack traces for clues related to the vulnerability. • wordpress / composer / npm: N/A - This vulnerability is specific to Liferay Portal, not WordPress or its dependencies. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability is not related to database systems.
disclosure
patch
Exploit Status
EPSS
0.15% (36% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van Liferay Portal naar versie 7.4.3.5 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de Dynamic Data Mapping module of het implementeren van strenge inputvalidatie op de instanceId parameter. Web Application Firewalls (WAFs) kunnen worden geconfigureerd om XSS-pogingen te detecteren en te blokkeren. Controleer ook de configuratie van de Dynamic Data Mapping module om onnodige functionaliteit uit te schakelen. Na de upgrade, verifieer de fix door te proberen een XSS-payload via de instanceId parameter te injecteren; dit zou moeten mislukken.
Werk Liferay Portal bij naar de meest recente versie die de correctie voor deze XSS kwetsbaarheid bevat. Raadpleeg de beveiligingsbulletin van Liferay voor details over de gecorrigeerde versies en specifieke update stappen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-25603 is a stored cross-site scripting (XSS) vulnerability in Liferay Portal 7.2.0 through 7.4.3.4 and DXP, allowing authenticated users to inject malicious scripts.
You are affected if you are using Liferay Portal versions ≤7.4.3.4 or DXP versions 7.4.13, 7.3 before update 4, or 7.2 before fix pack 17.
Upgrade to Liferay Portal 7.4.3.5 or later. As a temporary measure, implement input validation and output encoding on the instanceId parameter.
There is currently no indication of active exploitation, but the vulnerability's criticality suggests it could become a target.
Refer to the official Liferay security advisory: [https://liferay.com/portal/security-advisory/liferay-portal-dxp-security-vulnerability-xss-in-ddmform](https://liferay.com/portal/security-advisory/liferay-portal-dxp-security-vulnerability-xss-in-ddmform)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.