Se han descubierto vulnerabilidades de severidad alta en Liferay Portal y Liferay DXP. Un actor malicioso podría comprometer la disponibilidad del servicio en los sistemas afectados.
Productos afectados
- Liferay Portal 7.4.x: versiones anteriores a la 7.4.3.108
- Liferay DXP 2023.Q3.x: versiones anteriores a la 2023.Q3.4
- Liferay DXP 7.4
- Liferay DXP 7.3 GA: versiones anteriores a la U35
- Todas las versiones no soportadas anteriores
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-62260: con una puntuación de 7.1 en CVSS v4.0. Existe una vulnerabilidad de falta de límite en los objetos retornados por la Headless API, lo que podría permitir a un actor malicioso remoto desencadenar una denegación de servicio solicitando un volumen exagerado de objetos y saturando los recursos del servidor.
CVE-2025-62258: con una puntuación de 7.0 en CVSS v4.0. Existe una vulnerabilidad de Cross-Site Request Forgery en la Headless API que podría permitir a un actor malicioso remoto ejecutar peticiones arbitrarias a través del parámetro endpoint.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-62258
- https://www.cve.org/CVERecord?id=CVE-2025-62260
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2025-62260?p_r_p_assetEntryId=124525549
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2025-62258?p_r_p_assetEntryId=124526129