CVE-2025-43804

چکیده

آسیب‌پذیری XSS بازتابی در ویجت جستوجو (Search widget) پلتفرم Liferay Portal نسخه های 7.4.3.93 تا 7.4.3.111 و Liferay DXP نسخه‌های 2023.Q3.1 تا 2023.Q4.0 شناسایی شده است. این ضعف امنیتی به مهاجم از راه دور اجازه می‌دهد با استفاده از پارامتر _com_liferay_portal_search_web_portlet_SearchPortlet_userId در درخواست‌های HTTP، اسکریپت یا کد HTML مخرب تزریق کرده و آن را در مرورگر کاربر اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-43804 در ویجت Search (ویجت جستجوی داخلی Liferay) ناشی از خنثی‌سازی نادرست ورودی ها هنگام تولید صفحات وب مطابق با CWE-79 است. در این ضعف، مقدار پارامتر userId در رشته کوئری درخواست جستجو بدون پاک‌سازی یا رمزگذاری مناسب در خروجی HTML بازتاب می‌یابد و در نتیجه امکان تزریق تگ‌ها یا کدهای کنترل رویداد (event handler) مخرب فراهم می‌شود.

مهاجم می‌تواند یک لینک یا درخواست مخرب بسازد و کاربر را فریب دهد تا روی آن کلیک کرده یا صفحه آلوده را باز کند؛ در این صورت کد تزریق‌شده در زمینه نشست کاربر اجرا می‌شود و می‌تواند کوکی‌ها یا توکن‌های نشست را سرقت کرده، محتوای صفحه را دستکاری کند یا عملکردهای مخرب سمت کاربر مانند کی‌لاگر (ثبت‌کننده کلیدهای صفحه کلید) را اجرا نماید. این حمله از نوع بازتابی (XSS بازتابی) است؛ یعنی پیلود در همان درخواست بازتاب می‌یابد و ذخیره نمی‌شود و برای اجرا نیاز به تعامل کاربر دارد.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای خودکار، از راه دور، با تعامل کاربر و بدون نیاز به احراز هویت یا دسترسی اضافی، پیلودهای XSS را در پارامتر userId تزریق کند و نشست کاربر را برُباید. پیامدهای احتمالی شامل افشای اطلاعات محرمانه مانند توکن‌های نشست و تغییر محتوای صفحه است. این آسیب پذیری در نسخه‌ 7.4.3.112 برای Portal و در نسخه های 2023.Q3.5، 2024.Q1.1 و بالاتر برای DXP با پاک سازی صحیح پارامتر userId پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Liferay Portal و Liferay DXP را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت متوسط در ویجت Search پلتفرم Liferay ، امکان تزریق XSS بازتابی را فراهم می کند و می‌تواند منجر به سرقت نشست یا دستکاری صفحه در پورتال‌های سازمانی شود. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: Liferay Portal را به نسخه 7.4.3.112 یا بالاتر و Liferay DXP را به Q3.5، 2024.Q1.1 یا بالاتر به روزرسانی کنید.
• پاک سازی امنیتی ورودی ها: در کدهای سفارشی، پارامترهای کوئری مانند userId را با توابع Liferay مانند escape یا OWASP Java Encoder پاک سازی امنیتی کنید و از سیاست امنیت محتوا (CSP) برای جلوگیری از اجرای اسکریپت‌های inline استفاده نمایید.
• محدودسازی دسترسی به ویجت: دسترسی به ویجت Search را برای کاربران ناشناخته محدود کنید و پارامترهای حساس را از URL حذف یا هش نمایید.
• نظارت و ثبت لاگ: لاگ‌های درخواست را برای پیلودهای XSS بررسی کنید و از ابزارهایی مانند Liferay Audit یا ELK Stack برای تشخیص حملات بهره ببرید.
• ایزوله‌سازی: پورتال را پشت فایروال اپلیکیشن وب (WAF) مانند ModSecurity یا Cloudflare قرار دهید تا پیلودهای XSS فیلتر شوند.
• تست امنیتی: سایت را با ابزارهایی مانند OWASP ZAP یا Burp Suite برای شناسایی سناریوهای XSS بازتابی اسکن کنید؛ از تست نفوذ منظم و Fuzzing (تست ورودی‌های تصادفی) برای ارزیابی ویجت‌های جستجو استفاده نمایید.
• آموزش کاربران: کاربران را در مورد ریسک کلیک روی لینک‌های مشکوک (Phishing) آموزش دهید و از HTTPS اجباری و HSTS (HTTP Strict Transport Security) بهره ببرید.

اجرای این اقدامات، به ویژه به‌روزرسانی سریع و اعمال CSP، ریسک اجرای اسکریپت مخرب را به حداقل می‌رساند و امنیت پورتال‌های Liferay را در برابر حملات XSS حفظ می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
در این آسیب‌پذیری مهاجم از طریق ارسال یک درخواست HTTP با پارامتر _com_liferay_portal_search_web_portlet_SearchPortlet_userId حاوی پیلود جاوااسکریپت مخرب، کاربر هدف را فریب می‌دهد تا لینک یا صفحه‌ای را باز کند؛ در نتیجه حمله بدون نیاز به احراز هویت اولیه آغاز می‌شود.

Execution (TA0002)
کد جاوااسکریپتِ تزریق‌شده در مرورگر قربانی اجرا می‌شود که امکان اجرای اسکریپت در بافت جلسه کاربر را فراهم می‌آورد؛ این اجرا می‌تواند توکن‌ها، کوکی‌ها یا عملگرهای DOM را بخواند/تغییر دهد.

Credential Access (TA0006)
تزریق XSS می‌تواند منجر به سرقت توکن‌های نشست و کوکی‌های احراز هویت شود که امکان دستیابی به اعتبارات یا session hijacking را فراهم می‌کند.

Discovery (TA0007)
مهاجم می‌تواند با استفاده از اسکریپت‌های اجراشده ساختار DOM، مسیرهای داخلی ویجت و اطلاعات در دسترس مرورگر را کشف کرده و پارامترهای آسیب‌پذیر را شناسایی کند.

Collection (TA0009)
مهاجم قادر است داده‌های نمایش‌داده‌شده در صفحه (مانند اطلاعات پروفایل) و داده‌های نشست را از طریق اسکریپت جمع‌آوری کند.

Exfiltration (TA0010)
داده‌های جمع‌آوری‌شده می‌توانند به سرورهای خارجی ارسال شوند (مثلاً با فراخوانی XHR از اسکریپت تزریق‌شده) و بدین ترتیب نشت اطلاعات رخ دهد.

Defense Evasion (TA0005)
مهاجم می‌تواند پیلودهای XSS را طوری قالب‌بندی کند که از فیلترهای ساده عبور کند. مثلاً با استفاده از Unicode encoding یا event handlersکه تشخیص حمله را دشوار کند.

Impact (TA0040)
پیامد اصلی شامل افشای نشست‌ها و داده‌های حساس کاربر، تغییر محتوای صفحات برای فریب کاربران، و امکان اجرای اقدامات به نام کاربر (impersonation) است؛ در محیط‌های سازمانی این موارد می‌تواند منجر به نفوذ به حساب‌های پرامتیاز و نقض اطلاعات حساس شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-43804
2. https://www.cvedetails.com/cve/CVE-2025-43804/
3. https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-43804
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-43804
5. https://vuldb.com/?id.324602
6. https://nvd.nist.gov/vuln/detail/CVE-2025-43804
7. https://cwe.mitre.org/data/definitions/79.html