一、 漏洞 CVE-2025-43777 基础信息
漏洞信息
                                        # N/A

## 漏洞概述

Liferay Portal 和 Liferay DXP 在特定版本中存在一个信息泄露漏洞。当使用已被删除的客户端密钥(Client Secret)进行登录尝试时,系统会在响应体中返回 "Internal Server Error" 错误信息,可能导致攻击者判断出相应认证信息的状态。

## 影响版本

- **Liferay Portal**: 7.4.0 至 7.4.3.132
- **Liferay DXP**:
  - 2025.Q2.0 至 2025.Q2.9
  - 2025.Q1.0 至 2025.Q1.16
  - 2024.Q4.0 至 2024.Q4.7
  - 2024.Q3.0 至 2024.Q3.13
  - 2024.Q2.0 至 2024.Q2.13
  - 2024.Q1.1 至 2024.Q1.19

## 漏洞细节

当攻击者使用已被删除的 Client Secret 尝试认证时,应用程序返回 HTTP 500 错误("Internal Server Error"),而非统一的认证失败响应。这种差异化响应可能被用于推断认证凭据的状态。

## 潜在影响

攻击者可利用该响应信息进行枚举或探测,辨别出哪些 Client Secret 已被删除、哪些仍有效,从而辅助进一步的攻击行为(如暴力破解、凭据滥用等)。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q2.0 through 2025.Q2.9, 2025.Q1.0 through 2025.Q1.16, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.0 through 2024.Q3.13, 2024.Q2.0 through 2024.Q2.13 and 2024.Q1.1 through 2024.Q1.19 exposes "Internal Server Error" in the response body when a login attempt is made with a deleted Client Secret.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
通过错误消息导致的信息暴露
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-43777 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-43777 的情报信息
四、漏洞 CVE-2025-43777 的评论

暂无评论

发表评论