CVE-2024-25603 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Liferay Portal/DXP 存在**存储型 XSS** 漏洞。 🔥 **后果**：攻击者可通过 `instanceId` 参数注入恶意脚本/HTML，导致用户浏览器执行非预期代码。

🔍 **CWE**：CWE-79 (跨站脚本)。 📍 **缺陷点**：`instanceId` 参数未对输入进行充分过滤或转义，直接渲染到页面中。

🏢 **厂商**：Liferay。 📦 **产品**：Liferay Portal 和 Liferay DXP。 🌍 **背景**：基于 J2EE 的企业门户及数字化体验协作平台。

🕵️ **权限**：需**经过身份验证**的远程用户。 💾 **数据**：可窃取会话 Cookie、劫持用户操作、重定向至钓鱼网站，严重破坏完整性与机密性。

🚧 **门槛**：中等。 🔑 **条件**：攻击者必须拥有**有效账号**（PR:L）。 🖱️ **交互**：需用户点击或访问特定链接（UI:R），非完全自动触发。

📜 **PoC**：数据中未提供公开 PoC。 🌍 **在野**：暂无在野利用报告（截至 2024-02-21）。

🔎 **自查**：检查 Liferay 实例中 `instanceId` 参数是否被恶意篡改。 🛡️ **扫描**：使用支持存储型 XSS 检测的 DAST 工具，重点测试包含 `instanceId` 的 API 或表单提交。

🛡️ **官方**：Liferay 已发布安全公告。 📝 **链接**：[Liferay 官方安全页面](https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25603)。 ✅ **建议**：立即升级至修复版本。

⚠️ **临时规避**： 1. 实施严格的**输入验证**，过滤 `instanceId` 中的特殊字符。 2. 配置 WAF 规则，拦截包含 `<script>` 或 HTML 标签的 `instanceId` 请求。 3. 限制非管理员用户的访问权限。

🔥 **优先级**：高。 📊 **CVSS**：3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H (高分)。 💡 **见解**：虽然需要认证，但影响范围涵盖机密性、完整性和可用性，建议**立即修补**。