CERTFR-2025-AVI-0790_Multiples vulnérabilités dans Liferay
AVIS CERT
CERT-FR
Publié le 15 septembre 2025 à 17h01
Objet
Multiples vulnérabilités dans Liferay
Référence
CERTFR-2025-AVI-0790
Risques
- Déni de service à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- DXP versions 2023.Q3.x antérieures à 2023.Q3.5
- DXP versions 2023.Q4.x antérieures à 2023.Q4.0
- DXP versions 2024.x toutes versions
- DXP versions 2025.Q3.x antérieures à 2025.Q3.1
- DXP versions antérieures à 7.3 U36
- Portal sans le dernier correctif de sécurité
Résumé
De multiples vulnérabilités ont été découvertes dans Liferay. Elles permettent à un attaquant de provoquer un déni de service à distance et une injection de code indirecte à distance (XSS).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Liferay cve-2025-43787 du 12 septembre 2025
- Bulletin de sécurité Liferay cve-2025-43796 du 12 septembre 2025
- CVE-2025-43787
- CVE-2025-43796