Sign in Subscribe
By Jean-Marc BIAUDIS in Liferay

Alerte Liferay : une faille critique permet de contourner la sécurité

Le 2 septembre 2025, le CERT-FR a publié un avis de sécurité urgent concernant une faille découverte dans la solution open-source Liferay. Cette vulnérabilité permet à un attaquant de court-circuiter la politique de sécurité mise en place par les administrateurs, ouvrant la porte à des accès non autorisés ou à l’exfiltration de données sensibles.

Concrètement, l’exploitation de cette faille ne nécessite pas de droits particuliers : un utilisateur disposant simplement d’un compte sur la plateforme peut, grâce à une requête malicieuse, contourner les règles de contrôle d’accès et atteindre des ressources normalement protégées. Liferay étant largement déployé dans les portails intranet des grandes entreprises, les collectivités et les ministères, le risque de propagation rapide est élevé.

Pourquoi cette menace est-elle importante ?

Liferay sert souvent de hub central pour des documents confidentiels, des workflows de validation ou encore des applications métiers. Si un attaquant parvient à exploiter la vulnérabilité, il peut :

  • Accéder à des espaces administrateur sans privilèges préalables
  • Modifier des pages publiques ou privées
  • Droper du code malveillant visible par l’ensemble des collaborateurs
  • Utiliser le serveur comme point d’entrée vers le réseau interne

Que faire immédiatement ?

Aucun correctif officiel n’était disponible au moment de la publication de l’avis. En attendant le patch, le CERT-FR recommande :

  1. Bloquer temporairement les adresses IP externes sur l’interface d’administration
  2. Renforcer la surveillance des journaux d’accès (recherchez des codes 200 anormaux sur des URLs sensibles)
  3. Restreindre la création de comptes aux seuls utilisateurs validés par RH ou service informatique
  4. Tester vos sauvegardes : en cas d’intrusion, un rollback propre est votre meilleur allié

Suivez l’évolution officielle

L’équipe de Liferay travaille avec le CERT-FR à la publication d’un patch dans les prochains jours. Pour rester informé en temps réel, consultez le bulletin officiel du CERT-FR (cliquez ici pour lire la source originale).

Conclusion : ne sous-estimez pas cette vulnérabilité. Une faille de contournement peut devenir, dans les mains d’un attaquant persévérant, une porte grande ouverte vers votre système d’information. Mettez en place les contre-mesures proposées, abonnez-vous aux alertes Liferay et, surtout, communiquez cette information à vos équipes techniques dès aujourd’hui.

Quelles mesures avez-vous déjà appliquées ? Partagez vos retours d’expérience dans les commentaires ci-dessous.

Subscribe to jmarc

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe