关键漏洞信息 漏洞标识 CVE编号: CVE-2025-4581 漏洞描述 类型: 盲SSRF(Server-Side Request Forgery) 位置: portal-settings-authentication-opensso-web 原因: 由于对用户提供的URL验证不当,导致在预认证阶段存在盲SSRF漏洞。 影响: 攻击者可以利用此漏洞迫使服务器向内部系统发送任意HTTP请求,可能导致内部网络枚举或进一步的利用。 严重性 CVSS评分: 5.3 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/Vl:N/VA:N/SC:L/Si:N/SA:N) 影响版本 Liferay Portal 7.4.0 到 7.4.3.132 Liferay DXP 2025.Q1.0 到 2025.Q1.4 Liferay DXP 2024.Q4.0 到 2024.Q4.7 Liferay DXP 2024.Q3.1 到 2024.Q3.13 Liferay DXP 2024.Q2.0 到 2024.Q2.13 Liferay DXP 2024.Q1.1 到 2024.Q1.15 Liferay DXP 7.4 GA 到 update 92 修复版本 Liferay Portal 在 master 分支上修复 Liferay DXP 2025.Q2.0 Liferay DXP 2025.Q1.5 Liferay DXP 2024.Q1.16 致谢 报告者: Shubham Shah (CTO @ Assetnote) 和 Adam Kues (Security Researcher @ Assetnote) 发布日期: 2025年4月4日 16:24:00 +0000