Liferay Portal知识库文章编辑页面自跨站脚本(XSS)漏洞
漏洞概述
CVE ID: CVE-2025-62255
GHSA ID: GHSA-gccf-r9xp-x8jx
严重程度: 低危
CVSS评分: 2.0
受影响版本
Liferay Portal
- 7.4.0 至 7.4.3.101
- 旧版不受支持版本
Liferay DXP
- 2023.Q3.1 至 2023.Q3.5
- 7.4 GA 至 update 92
- 旧版不受支持版本
漏洞描述
Liferay Portal知识库文章编辑页面存在自跨站脚本(XSS)漏洞。远程攻击者可通过在附件文件名中注入特制payload,注入任意web脚本或HTML代码。
技术细节
漏洞类型
- CWE: CWE-79 - 在网页生成过程中对输入的不恰当中和(跨站脚本)
修复版本
- Maven包: com.liferay:com.liferay.knowledge.base.web
- 修复版本: 5.0.109
CVSS v4指标
可利用性指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 攻击要求: 无
- 所需权限: 低
- 用户交互: 需要
脆弱系统影响指标
- 机密性: 低
- 完整性: 低
- 可用性: 无
后续系统影响指标
- 机密性: 无
- 完整性: 无
- 可用性: 无
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-62255
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-62255
- liferay/liferay-portal@46dd9b7
- https://liferay.atlassian.net/browse/LPE-17842
时间线
- NVD发布: 2025年10月23日
- GitHub咨询数据库发布: 2025年10月23日
- 最后更新: 2025年10月23日