Liferay Portal和DXP未正确限制对OpenAPI的访问 · CVE-2025-62256

漏洞详情

受影响版本

• Liferay Portal: 7.4.0 至 7.4.3.109
• Liferay DXP:
  • 2023.Q4.0 至 2023.Q4.5
  • 2023.Q3.1 至 2023.Q3.7
  • 7.4 GA 至 update 92
  • 7.3 GA 至 update 35
  • 以及较旧的不受支持版本

漏洞描述

Liferay Portal和DXP在特定情况下未能正确限制对OpenAPI的访问，远程攻击者可通过特制的URL访问OpenAPI YAML文件。

修复版本

• 已修复版本: 6.0.26

技术细节

漏洞类型

CWE-862: 缺失授权 产品在参与者尝试访问资源或执行操作时未执行授权检查。

严重程度

中等严重性 - CVSS评分：6.9/10

CVSS v4基础指标

可利用性指标：

• 攻击向量：网络
• 攻击复杂度：低
• 攻击要求：无
• 所需权限：无
• 用户交互：无

脆弱系统影响指标：

• 机密性：低
• 完整性：无
• 可用性：无

后续系统影响指标：

• 机密性：无
• 完整性：无
• 可用性：无

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-62256
• https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-62256
• https://liferay.atlassian.net/browse/LPE-17884

漏洞状态

• 国家漏洞数据库发布日期: 2025年10月23日
• GitHub咨询数据库发布日期: 2025年10月23日
• 最后更新日期: 2025年10月24日
• EPSS评分: 0.143%（第35百分位）