Liferay Portal和DXP集合提供程序存在授权缺失漏洞
漏洞详情
包名称: maven:com.liferay:com.liferay.search.experiences.service (Maven)
受影响版本: <= 3.0.84
已修复版本: 无
漏洞描述
Liferay Portal 7.4.0至7.4.3.132版本,以及Liferay DXP 2025.Q2.0至2025.Q2.9、2025.Q1.0至2025.Q1.16、2024.Q4.0至2024.Q4.7、2024.Q3.1至2024.Q3.13、2024.Q2.0至2024.Q2.13、2024.Q1.1至2024.Q1.19版本中的集合提供程序组件存在授权缺失漏洞。该漏洞允许实例用户通过集合提供程序跨实例读取和选择未经授权的蓝图。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-62247
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-62247
- liferay/liferay-portal@019d703
- https://liferay.atlassian.net/browse/LPE-18297
漏洞严重程度
严重等级: 低
CVSS总体评分: 2.0/10
CVSS v4基础指标
可利用性指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 存在
- 所需权限: 低
- 用户交互: 主动
脆弱系统影响指标
- 机密性: 低
- 完整性: 低
- 可用性: 低
后续系统影响指标
- 机密性: 低
- 完整性: 低
- 可用性: 低
弱点分类
弱点: CWE-862 - 缺失授权
描述: 当参与者尝试访问资源或执行操作时,产品未执行授权检查。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
