CVE-2025-43806

EPSS 0.15%
Veröffentlicht 22.09.2025 22:15:43
Zuletzt bearbeitet 24.09.2025 18:11:34
Quelle security@liferay.com
Teams Watchlist Login
Unerledigt Login

Batch Engine in Liferay Portal 7.4.0 through 7.4.3.112, and Liferay DXP 2023.Q4.0 through 2023.Q4.7, 2023.Q3.1 through 2023.Q3.10, and 7.4 GA through update 92 does not properly check permission with import and export tasks, which allows remote authenticated users to access the exported data via the REST APIs.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 4

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

HerstellerLiferay

≫

Produkt Portal

Default Statusunaffected

Version <= 7.4.3.112

Version 7.4.0

Status affected

HerstellerLiferay

≫

Produkt DXP

Default Statusunaffected

Version <= 7.4.13-u92

Version 7.4.13

Status affected

Version <= 2023.Q3.10

Version 2023.Q3.1

Status affected

Version <= 2023.Q4.7

Version 2023.Q4.0

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.15%	0.364

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
security@liferay.com	5.3	0	0	CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

CWE-863 Incorrect Authorization

The product performs an authorization check when an actor attempts to access a resource or perform an action, but it does not correctly perform the check.

https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-43806

https://nvd.nist.gov/vuln/detail/CVE-2025-43806

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2025-43806

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2025-43806

EUVD