PT-2025-41802 · Liferay · Liferay Dxp
Foobar7
·
Publicado
2025-10-13
·
Atualizado
2025-10-13
·
CVE-2025-62241
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Liferay DXP de 2023.Q4.1 a 2023.Q4.5
Descrição
Existe uma vulnerabilidade de Referência Insegura Direta a Objetos (IDOR) no Liferay DXP que permite a usuários remotos autenticados acessar endereços de entrega de diferentes instâncias virtuais. Isso ocorre através do parâmetro
commerceOrderId no componente com liferay commerce order web internal portlet CommerceOrderPortlet.Recomendações
Atualize as versões do Liferay DXP anteriores a 2023.Q4.6.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Liferay Dxp