PT-2025-32428 · Liferay · Liferay Portal+1
José Ricardo
·
Publicado
2025-08-09
·
Atualizado
2025-12-19
·
CVE-2025-4655
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Liferay Portal versões 7.4.0 até 7.4.3.132
Liferay DXP versões 2025.Q1.0 até 2025.Q1.5
Liferay DXP versões 2024.Q4.0 até 2024.Q4.7
Liferay DXP versões 2024.Q3.1 até 2024.Q3.13
Liferay DXP versões 2024.Q2.0 até 2024.Q2.13
Liferay DXP versões 2024.Q1.1 até 2024.Q1.15
Liferay Portal 7.4 GA até a atualização 92
Descrição
O problema consiste em uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) em templates FreeMarker. Isso permite que editores de templates contornem validações de acesso por meio de URLs manipuladas.
Recomendações
Atualize o Liferay Portal para uma versão posterior a 7.4.3.132.
Atualize o Liferay DXP para uma versão posterior a 2025.Q1.5.
Atualize o Liferay DXP para uma versão posterior a 2024.Q4.7.
Atualize o Liferay DXP para uma versão posterior a 2024.Q3.13.
Atualize o Liferay DXP para uma versão posterior a 2024.Q2.13.
Atualize o Liferay DXP para uma versão posterior a 2024.Q1.15.
Atualize o Liferay Portal para uma versão posterior à atualização 92.
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal