CVE-2025-43798

EPSS 0.05%
Veröffentlicht 15.09.2025 20:53:02
Zuletzt bearbeitet 16.09.2025 12:49:16
Quelle security@liferay.com
Teams Watchlist Login
Unerledigt Login

Liferay DXP 2023.Q4.0, 2023.Q3.1 through 2023.Q3.4, 7.4 GA through update 92 and 7.3 GA through update 35 allows a time-based one-time password (TOTP) to be used multiple times during the validity period, which allows attackers with access to a user’s TOTP to authenticate as the user.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 4

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

HerstellerLiferay

≫

Produkt DXP

Default Statusunaffected

Version <= 7.3.10-u35

Version 7.3.10

Status affected

Version <= 7.4.13-u92

Version 7.4.13

Status affected

Version <= 2023.Q3.4

Version 2023.Q3.1

Status affected

Version 2023.Q4.0

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.05%	0.168

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
security@liferay.com	2.1	0	0	CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

CWE-304 Missing Critical Step in Authentication

The product implements an authentication technique, but it skips a step that weakens the technique.

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-43798

https://nvd.nist.gov/vuln/detail/CVE-2025-43798

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2025-43798

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2025-43798

EUVD