CVE-2025-43824

Опубликовано: 06 окт. 2025

Источник: nvd

CVSS3: 5.4

EPSS Низкий

Описание

The Profile widget in Liferay Portal 7.4.0 through 7.4.3.111, and older unsupported versions, and Liferay DXP 2023.Q4.0 through 2023.Q4.5, 2023.Q3.1 through 2023.Q3.8, 7.4 GA through update 92, and older unsupported versions uses a user’s name in the “Content-Disposition” header, which allows remote authenticated users to change the file extension when a vCard file is downloaded.

Ссылки

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-43824
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:*

Версия до 7.4 (включая)

cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:*

Версия от 2023.q3.1 (включая) до 2023.q3.9 (исключая)

cpe:2.3:a:liferay:digital_experience_platform:*:*:*:*:*:*:*:*

Версия от 2023.q4.0 (включая) до 2023.q4.6 (исключая)

cpe:2.3:a:liferay:liferay_portal:*:*:*:*:*:*:*:*

Версия до 7.4.3.112 (исключая)

EPSS

Процентиль: 17%

0.00053

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-79

Связанные уязвимости

GHSA-pfxj-gvqg-mj44

github

4 месяца назад

Liferay Profile Widget does not prevent vCard extension spoofing

EPSS

Процентиль: 17%

0.00053

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-79