平台
java
组件
expando
修复版本
7.4.3
7.3.11
7.2.11
CVE-2024-25601 描述了 Liferay Portal Expando 模块中一个存储型跨站脚本攻击 (XSS) 漏洞。该漏洞允许远程身份验证用户通过在地理位置自定义字段的名称文本字段中注入恶意有效载荷来执行脚本。受影响的版本包括 Liferay Portal 7.2.0 到 7.4.2 以及更早的未支持版本,以及 Liferay DXP 7.3 在服务包 3 之前的版本。已发布补丁版本 7.4.3。
该 XSS 漏洞允许攻击者在受影响的 Liferay Portal 实例中注入任意的 Web 脚本或 HTML。攻击者可以利用此漏洞窃取用户凭据、重定向用户到恶意网站、篡改网站内容,甚至劫持用户会话。由于漏洞影响的是身份验证用户,因此攻击者可能能够利用该漏洞访问敏感数据或执行未经授权的操作。如果攻击者能够控制网站内容,则可能导致更广泛的损害,例如传播恶意软件或进行网络钓鱼攻击。该漏洞的 CVSS 评分为 9 (CRITICAL),表明其潜在影响非常严重。
目前尚未公开发现针对 CVE-2024-25601 的公开利用程序,但由于该漏洞的严重性和易于利用性,预计可能会出现。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的风险。建议尽快采取缓解措施,以降低潜在风险。
Organizations using Liferay Portal 7.2.0 through 7.4.2, particularly those with custom applications or integrations that heavily rely on geolocation custom fields, are at significant risk. Shared hosting environments where multiple users have access to Liferay Portal instances are also particularly vulnerable.
• linux / server:
journalctl -u liferay -g 'geolocation custom field' | grep -i '<script' • generic web:
curl -I 'https://your-liferay-portal/your/geolocation/custom/field?name=<script>alert(1)</script>' | grep 'Content-Type: text/html' disclosure
漏洞利用状态
EPSS
0.15% (36% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级到 Liferay Portal 7.4.3 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,限制用户对地理位置自定义字段的访问权限,只允许授权用户进行修改。其次,实施严格的输入验证和输出编码,以防止恶意脚本注入。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以检测和阻止 XSS 攻击。最后,定期审查和更新 Liferay Portal 的安全配置,以确保其安全性。
升级 Liferay Portal 到最新版本。对于 Liferay DXP 7.3,升级到 service pack 3 或更高版本。对于 Liferay DXP 7.2,升级到 fix pack 17 或更高版本。这将修复 Expando 模块的地理位置自定义字段中的存储型 XSS 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-25601 是 Liferay Portal Expando 模块中一个存储型跨站脚本攻击 (XSS) 漏洞,允许攻击者通过注入恶意脚本来执行代码。
如果您正在使用 Liferay Portal 7.2.0 到 7.4.2 或更早的未支持版本,以及 Liferay DXP 7.3 在服务包 3 之前的版本,则可能受到影响。
升级到 Liferay Portal 7.4.3 或更高版本是修复此漏洞的最佳方法。
目前尚未公开发现针对 CVE-2024-25601 的公开利用程序,但由于漏洞的严重性,预计可能会出现。
请访问 Liferay 官方安全公告页面:[https://www.liferay.com/security-advisories](https://www.liferay.com/security-advisories)
上传你的 pom.xml 文件,立即知道是否受影响。