Liferay Portal 中的跨站点脚本CVE-2025-43733

Liferay Portal 是一款基于 J2EE 架构开源企业级门户解决方案，主要用于构建个性化、可扩展Web应用，采用Struts MVC框架构建前端。

一、基本情况

Liferay Portal 功能包括文档管理、内容聚合、单点登录、用户权限控制及跨系统集成，低代码工具开发，支持主流数据库和服务器环境。

Liferay Portal 支持用户界面定制（主题、布局调整），用于企业内部文档管理、客户门户及供应商协作等场景，入选十大文档管理系统。 ‌

栋科技漏洞库关注到 Liferay Portal 及 Liferay DXP 中存在反射型跨站脚本（XSS）漏洞，被追踪为CVE-2025-43733，CVSS 4.0评分2.3。

二、漏洞分析

CVE-2025-43733漏洞是 Liferay Portal 7.4.3.132以及 Liferay DXP 2025.Q1.0至2025.Q1.7版本存在的一个反射型跨站脚本（XSS）漏洞。

远程认证攻击者可以利用该漏洞，通过内容页面的名称字段注入JavaScript代码。

当用户在查看“文档使用情况查看”页面时，恶意负载会在用户浏览器中反射并执行。

三、影响范围

Liferay Portal 7.4.3.132

Liferay DXP 2025.Q1.0至2025.Q1.7版本

四、修复建议

com.liferay:com.liferay.layout.taglib >= 17.0.0 及以上版本

五、参考链接

管理员已设置登录后刷新可查看