Se han descubierto vulnerabilidades en los productos Liferay Portal y Liferay DXP. Estas vulnerabilidades, de ser explotadas, podrían permitir que un actor malicioso remoto comprometa la disponibilidad de los sistemas objetivo.
Productos afectados
- Portal 7.x, versiones anteriores a 7.4.3.98
- DXP 2023.x, versiones 2023.Q3.1 a 2023.Q3.2
- DXP 7.4, versiones 7.4.13 a 7.4.13-u92
- DXP 7.3, versiones 7.3.10 a 7.3.10-u35
- DXP 7.2, versiones 7.2.10 a 7.2.10-dxp-20
- Versiones de DXP 7.1. desde la 7.1.10 hasta la 7.1.10-dxp-28
- DXP 7.0, versiones 7.0.10 a 7.0.10-de-102
- DXP 6.2, versiones 6.2.0 a 6.2.0-portal-173
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-3526: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad que no restringe el guardado de parámetros de solicitud en la sesión HTTP, lo que podría permitir a actores maliciosos remotos consumir memoria del sistema y generar condiciones de denegación de servicio a través de solicitudes HTTP diseñadas.
CVE-2025-3602: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad que no limita la profundidad de las consultas GraphQL, lo que podría permitir a actores maliciosos remotos realizar ataques de denegación de servicio en la aplicación mediante la ejecución de consultas complejas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-3526
- https://www.cve.org/CVERecord?id=CVE-2025-3602
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-3602
- https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-3526