Vulnérabilité dans Liferay : Une menace pour les systèmes en 2025

Le 25 août 2025, un avis de la CERT a signalé une vulnérabilité dans Liferay, un outil de gestion des contenus basé sur Java. Cette faille permet à un attaquant de provoquer une injection de code indirecte (XSS) à distance, exposant les utilisateurs à des attaques web extrêmement précises. L'indication de la vulnérabilité est détaillée dans l'avis, qui précise la manière dont l'attaque peut être exploitée et les mesures de correction à prendre.

Une injection XSS (Cross-Site Scripting) se produit lorsque des données utilisateur sont injectées dans des éléments du site web, souvent via des formulaires ou des liens. Dans ce cas, un attaquant pourrait manipuler le contenu du site, lire des données sensibles, ou même déjouer des mesures de sécurité. L'avis de la CERT souligne que cette vulnérabilité est particulièrement dangereuse pour les systèmes utilisant Liferay, car elle permet une attaque par injection de code sans que l'utilisateur ne soit conscient de la menace.

Les utilisateurs doivent mettre à jour leur version de Liferay et appliquer les correctifs mentionnés dans l'avis. Il est également recommandé de désactiver les fonctionnalités risquées ou de limiter l'accès aux utilisateurs non autorisés. Pour plus d'informations, consultez le lien original : CERTFR-2025-AVI-0725.

Quels sont vos points de vigilance concernant les vulnérabilités dans les outils de gestion de contenu ? Partagez vos expériences et commentez ci-dessous !