Liferay Portal和DXP博客图片权限检查漏洞
漏洞概述
CVE ID: CVE-2025-62275
严重等级: 中等
CVSS评分: 6.9/10
受影响版本
Liferay Portal
- 7.4.0 至 7.4.3.111
- 旧版不受支持版本
Liferay DXP
- 2023.Q4.0 至 2023.Q4.10
- 2023.Q3.1 至 2023.Q3.10
- 7.4 GA 至 update 92
- 旧版不受支持版本
漏洞描述
Liferay Portal和DXP中的博客模块存在权限验证缺陷。在受影响版本中,系统未能正确检查博客条目中图片的访问权限,远程攻击者可通过构造特制的URL绕过权限控制,查看博客条目中的图片。
技术细节
受影响的组件
Maven包: com.liferay:com.liferay.blogs.item.selector.web
修复版本
- 已修复版本: 6.0.19
漏洞影响
影响范围
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 不需要
影响指标
- 机密性: 低(可访问受限图片)
- 完整性: 无影响
- 可用性: 无影响
参考链接
安全建议
建议用户尽快升级到已修复版本(6.0.19或更高版本),以避免潜在的安全风险。