Platform
java
Component
com.liferay.portal:com.liferay.portal.impl
Opgelost in
7.4.4
7.3.11
7.4.14
2023.0.1
2023.0.1
97.0.0
CVE-2025-62254 beschrijft een Denial of Service (DoS) kwetsbaarheid in Liferay Portal en Liferay DXP. Deze kwetsbaarheid ontstaat doordat de ComboServlet geen limiet stelt aan het aantal of de grootte van bestanden die gecombineerd worden, waardoor een aanvaller zeer grote responses kan genereren. Dit kan leiden tot een DoS aanval, waarbij de server overbelast raakt. De kwetsbaarheid treft versies van Liferay Portal tot en met 96.0.0 en Liferay DXP 2023.Q4.2, 2023.Q3.5, 7.4 update 92, 7.3 update 35 en oudere onondersteunde versies. Een fix is beschikbaar in versie 97.0.0.
Een succesvolle exploitatie van deze kwetsbaarheid kan resulteren in een Denial of Service (DoS) aanval op de Liferay Portal server. Dit betekent dat legitieme gebruikers geen toegang meer hebben tot de applicatie, wat kan leiden tot aanzienlijke verstoring van de dienstverlening. De aanvaller kan de server overbelasten door het creëren van extreem grote responses via de URL query string. De impact is aanzienlijk, aangezien een DoS aanval de beschikbaarheid van de applicatie volledig kan uitschakelen. Er is potentieel voor een breed bereik, aangezien alle gebruikers van de getroffen Liferay Portal instanties kwetsbaar zijn. De kwetsbaarheid lijkt op andere DoS-aanvallen die gebruik maken van resource-exhaustion technieken.
Op dit moment is er geen publieke exploitatie van CVE-2025-62254 bekend, maar de kwetsbaarheid is wel opgenomen in het CISA KEV catalogus (KEV). Er zijn geen actieve campagnes bekend die deze kwetsbaarheid uitbuiten. De publicatie van de CVE vond plaats op 24 oktober 2025. Het is belangrijk om de kwetsbaarheid serieus te nemen en passende maatregelen te treffen om de risico's te minimaliseren.
Organizations running Liferay Portal or Liferay DXP in production environments are at risk. Specifically, deployments using older, unsupported versions or those that have not applied recent updates are particularly vulnerable. Shared hosting environments where multiple tenants share the same Liferay instance may also be affected, as an attacker could potentially exploit the vulnerability to impact other tenants.
• linux / server: Monitor Liferay Portal logs for unusual activity related to the ComboServlet. Look for requests with extremely long URLs or large file sizes. Use journalctl -u liferay to filter for relevant log entries.
journalctl -u liferay | grep "ComboServlet" | grep -i "large file"• generic web: Use curl to test the ComboServlet endpoint with a crafted URL containing a large number of files or a very large file. Monitor server resource usage (CPU, memory) during the test.
curl 'http://your-liferay-portal/alfresco/service/api/combo?client=portal&c=combo&comboType=file&file=file1.txt,file2.txt,file3.txt,...' -vdisclosure
Exploit Status
EPSS
0.20% (42% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-62254 is het upgraden naar Liferay Portal versie 97.0.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van Web Application Firewall (WAF) regels om de URL query string te beperken en de grootte van responses te controleren. Configureer de server om een maximale grootte voor responses af te dwingen. Monitor de serverlogboeken op ongebruikelijke patronen van verzoeken met zeer grote URL query strings. Na de upgrade, bevestig de correctie door een test uit te voeren die de ComboServlet aanroept met een grote URL query string en controleer of de server niet overbelast raakt.
Actualice Liferay Portal a una versión posterior a 7.4.3.111 o a la última versión disponible de Liferay DXP. Esto corregirá la vulnerabilidad de denegación de servicio en el ComboServlet.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-62254 is a denial-of-service vulnerability in Liferay Portal 7.4 and DXP, allowing attackers to exhaust server resources via crafted URL requests to the ComboServlet.
You are affected if you are running Liferay Portal versions ≤96.0.0 or Liferay DXP versions 2023.Q4.0 through 2023.Q4.2, 2023.Q3.1 through 2023.Q3.5, 7.4 GA through update 92, 7.3 GA through update 35, and older unsupported versions.
Upgrade to Liferay Portal version 97.0.0 or later. As a temporary workaround, implement rate limiting or WAF rules to restrict requests to the ComboServlet.
No active exploitation campaigns have been confirmed, but the ease of exploitation suggests a potential for opportunistic attacks.
Refer to the official Liferay security advisory for CVE-2025-62254 on the Liferay website (link to be added when available).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.