Liferay Portal与DXP集合提供程序存在授权缺失漏洞分析

Liferay Portal和DXP集合提供程序存在授权缺失漏洞

漏洞详情

包名称: maven:com.liferay:com.liferay.search.experiences.service (Maven)

受影响版本: <= 3.0.84

已修复版本: 无

漏洞描述

Liferay Portal 7.4.0至7.4.3.132版本，以及Liferay DXP 2025.Q2.0至2025.Q2.9、2025.Q1.0至2025.Q1.16、2024.Q4.0至2024.Q4.7、2024.Q3.1至2024.Q3.13、2024.Q2.0至2024.Q2.13、2024.Q1.1至2024.Q1.19版本中的集合提供程序组件存在授权缺失漏洞。该漏洞允许实例用户通过集合提供程序跨实例读取和选择未经授权的蓝图。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-62247
• https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-62247
• liferay/liferay-portal@019d703
• https://liferay.atlassian.net/browse/LPE-18297

漏洞严重程度

严重等级: 低

CVSS总体评分: 2.0/10

CVSS v4基础指标

可利用性指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 攻击要求: 存在
• 所需权限: 低
• 用户交互: 主动

脆弱系统影响指标

• 机密性: 低
• 完整性: 低
• 可用性: 低

后续系统影响指标

• 机密性: 低
• 完整性: 低
• 可用性: 低

弱点分类

弱点: CWE-862 - 缺失授权

描述: 当参与者尝试访问资源或执行操作时，产品未执行授权检查。