Liferay Portal集群网络身份验证漏洞分析
漏洞详情
包名: maven:com.liferay:com.liferay.portal.cluster.multiple
受影响版本:
- < 5.0.35
已修复版本:
- 5.0.35
漏洞描述
Liferay Portal在7.4.0至7.4.3.132版本及更早的不受支持版本中,以及Liferay DXP在2023.Q4.0、2023.Q3.1至2023.Q3.4、7.4 GA至update 92、7.3 GA至update 35及更早的不受支持版本中,存在身份验证不当漏洞。
该漏洞允许远程攻击者向Liferay Portal和Liferay DXP发送恶意数据,系统会将这些数据视为可信数据。攻击者可通过未经身份验证的集群消息利用此漏洞。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-62250
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-62250
- https://liferay.atlassian.net/browse/LPE-17901
安全评分
严重程度: 中等
CVSS总体评分: 6.9/10
CVSS v4基础指标
可利用性指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 无
- 所需权限: 无
- 用户交互: 无
脆弱系统影响指标:
- 机密性: 低
- 完整性: 低
- 可用性: 无
后续系统影响指标:
- 机密性: 无
- 完整性: 无
- 可用性: 无
弱点分析
弱点类型: CWE-346 来源验证错误
产品未能正确验证数据或通信来源的有效性。
识别信息
- CVE ID: CVE-2025-62250
- GHSA ID: GHSA-6pgj-w687-9c8c
- 源代码: liferay/liferay-portal