安全研究
安全漏洞
Liferay Portal和Liferay DXP跨站脚本漏洞(CVE-2025-4576)
发布日期:2025-08-08
更新日期:2025-12-24
受影响系统:Liferay Portal >= 7.4.0 <= 7.4.3.133
Liferay DXP >= 2025.Q1.0 <= 2025.Q1.4
Liferay DXP >= 2024.Q4.0 <= 2024.Q4.7
Liferay DXP >= 2024.Q3.1 <= 2024.Q3.13
Liferay DXP >= 2024.Q2.0 <= 2024.Q2.13
Liferay DXP >= 2024.Q1.1 <= 2024.Q1.15
描述:
CVE(CAN) ID:
CVE-2025-4576
Liferay Portal和Liferay DXP都是美国Liferay公司的产品,Liferay Portal是一套基于J2EE的门户解决方案,使用了EJB以及JMS等技术,并可作为Web发布和共享工作区、企业协作平台、社交网络等,Liferay DXP是一套数字化体验协作平台。
Liferay Portal和Liferay DXP多个版本存在跨站脚本漏洞,未经身份认证的远程攻击者可利用该漏洞在modules/apps/blogs/blogs-web/src/main/resources/META-INF/resources/blogs/entry_cover_image_caption.jsp中注入并执行JavaScript。
<**>
建议:
厂商补丁:
Liferay
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-4576浏览次数:103
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |