漏洞概述
CVE-2025-62264是一个影响Liferay门户的中等严重性反射型跨站脚本(XSS)漏洞。该漏洞存在于语言覆盖功能中,远程攻击者能够通过_com_liferay_portal_language_override_web_internal_portlet_PLOPortlet_selectedLanguageId参数注入任意Web脚本或HTML代码。
受影响版本
Liferay Portal
- 受影响版本:>= 7.4.3.8, < 7.4.3.112-ga112
- 已修复版本:7.4.3.112-ga112
Liferay DXP
- 2023.Q4.0 至 2023.Q4.10
- 2023.Q3.1 至 2023.Q3.10
- 7.4 update 4 至 update 92
技术细节
漏洞类型
- CWE分类:CWE-79 - 在网页生成过程中对输入的不当中和(跨站脚本)
- CVSS评分:5.1(中等严重性)
CVSS v4基础指标
可利用性指标:
- 攻击向量:网络
- 攻击复杂度:低
- 攻击要求:无
- 所需权限:无
- 用户交互:需要
脆弱系统影响指标:
- 机密性:低影响
- 完整性:低影响
- 可用性:无影响
安全建议
用户应立即升级到已修复的版本7.4.3.112-ga112,以避免潜在的攻击风险。该漏洞允许攻击者在用户浏览器中执行恶意脚本,可能导致会话劫持或其他安全威胁。