漏洞概述
Liferay Portal中存在一个反射型跨站脚本(XSS)漏洞,该漏洞存在于google_gadget组件中,允许远程未认证攻击者向google_gadget注入JavaScript代码。
受影响版本
Liferay Portal
- 7.4.0 至 7.4.3.132
Liferay DXP
- 2025.Q3.0 至 2025.Q3.2
- 2025.Q2.0 至 2025.Q2.12
- 2025.Q1.0 至 2025.Q1.17
- 2024.Q4.0 至 2024.Q4.7
- 2024.Q3.1 至 2024.Q3.13
- 2024.Q2.0 至 2024.Q2.13
- 2024.Q1.1 至 2024.Q1.20
- 2023.Q4.0 至 2023.Q4.10
技术细节
漏洞类型
- CWE分类: CWE-79 - 在网页生成过程中对输入的不当中和(跨站脚本)
- 严重等级: 中等
- CVSS评分: 6.9
CVSS v4基础指标
可利用性指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 无
- 所需权限: 无
- 用户交互: 无
脆弱系统影响指标
- 机密性: 低
- 完整性: 低
- 可用性: 无
后续系统影响指标
- 机密性: 低
- 完整性: 低
- 可用性: 无
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-62249
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-62249
- liferay/liferay-portal@66c51e0
- liferay/liferay-portal@8309d01
- liferay/liferay-portal@f041e70
安全状态
- EPSS评分: 0.047%(第14百分位)
- GitHub审核状态: 已审核
- 发布时间: 2025年10月21日
- 最后更新: 2025年10月21日
修复状态
目前尚未提供修复版本。