PT-2025-40020 · Liferay · Liferay Portal+1
Foobar7
·
Publicado
2025-09-30
·
Atualizado
2025-10-01
·
CVE-2025-43827
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Liferay Portal versões 7.4.0 até 7.4.3.117
Liferay DXP versões 2023.Q3.1 até 2023.Q3.10
Liferay DXP versões 2023.Q4.0 até 2023.Q4.10
Liferay DXP versões 2024.Q1.1 até 2024.Q1.5
Liferay Portal 7.4 GA até a atualização 92
Versões anteriores não suportadas
Descrição
Existe uma falha no Liferay Portal e DXP que permite que usuários autenticados remotamente acessem eventos de auditoria de uma instância virtual diferente. Isso ocorre devido a uma condição de Referência Direta a Objeto Inseguro (IDOR). A falha está relacionada ao parâmetro
com liferay portal security audit web portlet AuditPortlet auditEventId.Recomendações
Atualize o Liferay Portal para uma versão posterior à 7.4.3.117.
Atualize o Liferay DXP para uma versão posterior à 2024.Q1.5.
Atualize o Liferay DXP para uma versão posterior à 2023.Q4.10.
Atualize o Liferay DXP para uma versão posterior à 2023.Q3.10.
Atualize o Liferay Portal para uma versão posterior à atualização 92.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp
Liferay Portal