Se identificó una vulnerabilidad en los productos Liferay Portal y Liferay DXP, que, si se explota con éxito, podría permitir a un actor malicioso evitar restricciones de seguridad.
Productos afectados
- Portal Liferay, desde la versión 7.4.0 a la versión 7.4.3.131
- Liferay DXP, desde la versión 2024.Q4.0 hasta la versión 2024.Q4.5
- Liferay DXP 2024.T3
- Liferay DXP 2024.T2
- Liferay DXP, desde la versión 2024.Q1.1 hasta la 2024.Q1.12
- Liferay DXP 7.4
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-4388: con una puntuación de 6.9 en CVSS v4.0. Se trata de una vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejada. Un actor malicioso no autenticado podría inyectar JavaScript en modules/apps/marketplace/marketplace-app-manager-web.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2025-4388
https://www.cve.org/CVERecord?id=CVE-2025-4388