Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-c6g5-g6r7-q4j6

Опубликовано: 09 авг. 2025
Источник: github
Github: Прошло ревью
CVSS4: 5.1

Описание

Liferay Portal and Liferay DXP vulnerable to Server-Side Request Forgery

An SSRF vulnerability in FreeMarker templates in Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.5, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 through 2024.Q3.13, 2024.Q2.0 through 2024.Q2.13, 2024.Q1.1 through 2024.Q1.15, and 7.4 GA through update 92 allows template editors to bypass access validations via crafted URLs.

Ссылки

Пакеты

Наименование

com.liferay.portal:release.portal.bom

maven
Затронутые версииВерсия исправления

>= 7.4.0, <= 7.4.3.132

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 2025.Q1.0, <= 2025.Q1.5

2025.Q1.6

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 2024.Q4.0, <= 2024.Q4.7

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 2024.Q3.1, <= 2024.Q3.13

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 2024.Q2.0, <= 2024.Q2.13

Отсутствует

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

>= 2024.Q1.0, <= 2024.Q1.15

2024.Q1.16

Наименование

com.liferay.portal:release.dxp.bom

maven
Затронутые версииВерсия исправления

<= 7.4.13.u92

Отсутствует

EPSS

Процентиль: 10%
0.00036
Низкий

5.1 Medium

CVSS4

CVE ID

CVE-2025-4655

Дефекты

CWE-918

Связанные уязвимости

nvd логотип

CVE-2025-4655

CVSS3: 5
nvd
6 месяцев назад

SSRF vulnerability in FreeMarker templates in Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.5, 2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 through 2024.Q3.13, 2024.Q2.0 through 2024.Q2.13, 2024.Q1.1 through 2024.Q1.15, 7.4 GA through update 92 allows template editors to bypass access validations via crafted URLs.

EPSS

Процентиль: 10%
0.00036
Низкий

5.1 Medium

CVSS4

CVE ID

CVE-2025-4655

Дефекты

CWE-918