Liferay Portal和DXP集合提供程序存在授权缺失漏洞
漏洞概述
CVE ID: CVE-2025-62247
GHSA ID: GHSA-cqwv-9xh5-25fg
严重程度: 低危 (CVSS评分: 2.0)
漏洞类型: 授权缺失 (CWE-862)
受影响版本
Liferay Portal
- 7.4.0 至 7.4.3.132
Liferay DXP
- 2025.Q2.0 至 2025.Q2.9
- 2025.Q1.0 至 2025.Q1.16
- 2024.Q4.0 至 2024.Q4.7
- 2024.Q3.1 至 2024.Q3.13
- 2024.Q2.0 至 2024.Q2.13
- 2024.Q1.1 至 2024.Q1.19
漏洞描述
Liferay Portal和DXP的集合提供程序(Collection Provider)组件存在授权缺失漏洞。该漏洞允许实例用户通过集合提供程序跨实例读取和选择未经授权的蓝图(Blueprints)。
技术细节
受影响的包
- Maven: com.liferay:com.liferay.search.experiences.service
- 受影响版本: <= 3.0.84
- 已修复版本: 无
CVSS v4 基础指标
可利用性指标:
- 攻击向量:网络
- 攻击复杂度:低
- 攻击要求:存在
- 所需权限:低
- 用户交互:主动
脆弱系统影响指标:
- 机密性:低
- 完整性:低
- 可用性:低
后续系统影响指标:
- 机密性:低
- 完整性:低
- 可用性:低
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-62247
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-62247
- liferay/liferay-portal@019d703
- https://liferay.atlassian.net/browse/LPE-18297
时间线
- 国家漏洞数据库发布: 2025年10月22日
- GitHub咨询数据库发布: 2025年10月22日
- 审核时间: 2025年10月22日
- 最后更新: 2025年10月22日
EPSS评分
0.038% (第11百分位) - 此分数估计该漏洞在未来30天内被利用的概率。