Plataforma
java
Componente
com.liferay.portal:com.liferay.portal.impl
Corrigido em
7.4.4
7.3.11
7.4.14
2023.0.1
2023.0.1
97.0.0
A vulnerabilidade CVE-2025-62254 é um ataque de Negação de Serviço (DoS) presente no ComboServlet do Liferay Portal e Liferay DXP. Explorando a falta de limitação no tamanho e número de arquivos combinados, um atacante pode forçar o servidor a gerar respostas excessivamente grandes, esgotando recursos e tornando o sistema indisponível. Versões afetadas incluem Liferay Portal 7.4.0 até 7.4.3.111 e versões mais antigas não suportadas, além de Liferay DXP 2023.Q4.0 até 2023.Q4.2 e outras versões listadas na descrição. A correção está disponível na versão 97.0.0.
Um atacante pode explorar esta vulnerabilidade enviando uma requisição cuidadosamente elaborada para o ComboServlet, solicitando a combinação de um grande número de arquivos ou arquivos de tamanho considerável. O servidor, sem a devida validação, tentará combinar esses recursos, resultando em uma resposta HTTP extremamente grande. Essa resposta pode consumir toda a largura de banda da rede, esgotar a memória do servidor ou sobrecarregar o processador, levando a uma negação de serviço. O impacto é a indisponibilidade do Liferay Portal, impedindo usuários legítimos de acessar o sistema e seus recursos. A vulnerabilidade pode afetar a disponibilidade de aplicações críticas que dependem do Liferay Portal.
A vulnerabilidade foi divulgada em 2025-10-24. Não há informações disponíveis sobre a adição a KEV (CISA KEV) ou a existência de um EPSS score. Atualmente, não há relatos públicos de exploração ativa, mas a natureza da vulnerabilidade (DoS) a torna um alvo potencial para ataques automatizados. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois a exploração pode ser relativamente simples de implementar.
Organizations running Liferay Portal or Liferay DXP in production environments are at risk. Specifically, deployments using older, unsupported versions or those that have not applied recent updates are particularly vulnerable. Shared hosting environments where multiple tenants share the same Liferay instance may also be affected, as an attacker could potentially exploit the vulnerability to impact other tenants.
• linux / server: Monitor Liferay Portal logs for unusual activity related to the ComboServlet. Look for requests with extremely long URLs or large file sizes. Use journalctl -u liferay to filter for relevant log entries.
journalctl -u liferay | grep "ComboServlet" | grep -i "large file"• generic web: Use curl to test the ComboServlet endpoint with a crafted URL containing a large number of files or a very large file. Monitor server resource usage (CPU, memory) during the test.
curl 'http://your-liferay-portal/alfresco/service/api/combo?client=portal&c=combo&comboType=file&file=file1.txt,file2.txt,file3.txt,...' -vdisclosure
Status do Exploit
EPSS
0.20% (percentil 42%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Liferay Portal ou Liferay DXP para a versão 97.0.0, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias. Configure um Web Application Firewall (WAF) para bloquear requisições com URLs excessivamente longas ou que contenham um número incomum de parâmetros. Implemente limites de tamanho para as respostas HTTP geradas pelo ComboServlet. Monitore o uso de recursos do servidor (CPU, memória, largura de banda) para detectar anomalias que possam indicar um ataque DoS. Após a atualização, confirme a correção verificando os logs do servidor para garantir que as requisições maliciosas estão sendo bloqueadas e que o ComboServlet está operando dentro dos limites configurados.
Actualice Liferay Portal a una versión posterior a 7.4.3.111 o a la última versión disponible de Liferay DXP. Esto corregirá la vulnerabilidad de denegación de servicio en el ComboServlet.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-62254 is a denial-of-service vulnerability in Liferay Portal 7.4 and DXP, allowing attackers to exhaust server resources via crafted URL requests to the ComboServlet.
You are affected if you are running Liferay Portal versions ≤96.0.0 or Liferay DXP versions 2023.Q4.0 through 2023.Q4.2, 2023.Q3.1 through 2023.Q3.5, 7.4 GA through update 92, 7.3 GA through update 35, and older unsupported versions.
Upgrade to Liferay Portal version 97.0.0 or later. As a temporary workaround, implement rate limiting or WAF rules to restrict requests to the ComboServlet.
No active exploitation campaigns have been confirmed, but the ease of exploitation suggests a potential for opportunistic attacks.
Refer to the official Liferay security advisory for CVE-2025-62254 on the Liferay website (link to be added when available).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.