漏洞概述

CVE-2025-62254 是一个影响 Liferay Portal 的中等严重性漏洞，CVSS 评分为 6.9。该漏洞存在于 ComboServlet 组件中，允许远程攻击者通过 URL 查询字符串创建非常大的响应，从而导致拒绝服务攻击。

受影响版本

Liferay Portal

• 7.4.0 至 7.4.3.111
• 旧版不受支持版本

Liferay DXP

• 2023.Q4.0 至 2023.Q4.2
• 2023.Q3.1 至 2023.Q3.5
• 7.4 GA 至 update 92
• 7.3 GA 至 update 35
• 旧版不受支持版本

漏洞详情

ComboServlet 在组合文件时没有限制文件的数量或大小，攻击者可以利用此缺陷：

• 通过 URL 查询字符串发起攻击
• 创建超大型响应
• 导致系统资源耗尽，实现拒绝服务

修复版本

已修复版本： 97.0.0

技术指标

CVSS v4 基础指标

• 攻击向量： 网络
• 攻击复杂度： 低
• 权限要求： 无
• 用户交互： 无
• 可用性影响： 低

弱点类型

CWE-22： 路径遍历限制不当

• 产品使用外部输入构造路径名时，未能正确中和路径名中的特殊元素

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-62254
• https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-62254
• https://liferay.atlassian.net/browse/LPE-17867

安全建议

建议所有受影响版本的用户立即升级到已修复版本 97.0.0，以避免潜在的攻击风险。