CVE-2021-29041
https://notcve.org/view.php?id=CVE-2021-29041
Denial-of-service (DoS) vulnerability in the Multi-Factor Authentication module in Liferay DXP 7.3 before fix pack 1 allows remote authenticated attackers to prevent any user from authenticating by (1) enabling Time-based One-time password (TOTP) on behalf of the other user or (2) modifying the other user's TOTP shared secret. Una vulnerabilidad de denegación de servicio (DoS) en el módulo de autenticación Multi-Factor en Liferay DXP versiones 7.3 anteriores al fixpack 1, permite a atacantes autenticados remotos impedir a cualquier usuario autenticarse al (1) habilitar la contraseña única basada en el tiempo (TOTP) en nombre del otro usuario o (2) modificar el secreto compartido de TOTP del otro usuario • http://liferay.com https://issues.liferay.com/browse/LPE-17131 •
CVE-2021-29040
https://notcve.org/view.php?id=CVE-2021-29040
The JSON web services in Liferay Portal 7.3.4 and earlier, and Liferay DXP 7.0 before fix pack 97, 7.1 before fix pack 20 and 7.2 before fix pack 10 may provide overly verbose error messages, which allows remote attackers to use the contents of error messages to help launch another, more focused attacks via crafted inputs. Los servicios web JSON en Liferay Portal versiones 7.3.4 y anteriores, y Liferay DXP versiones 7.0 anteriores al fixpack 97, versiones 7.1 anteriores al fixpack 20 y versiones 7.2 anteriores al fixpack 10, pueden proporcionar mensajes de error demasiado detallados, lo que permite a atacantes remotos usar el contenido del error de mensajes para ayudar a lanzar otros ataques más enfocados por medio de entradas diseñadas • http://liferay.com https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/120743429 • CWE-209: Generation of Error Message Containing Sensitive Information •
CVE-2020-15840
https://notcve.org/view.php?id=CVE-2020-15840
In Liferay Portal before 7.3.1, Liferay Portal 6.2 EE, and Liferay DXP 7.2, DXP 7.1 and DXP 7.0, the property 'portlet.resource.id.banned.paths.regexp' can be bypassed with doubled encoded URLs. En Liferay Portal versiones anteriores a 7.3.1, Liferay Portal versión 6.2 EE y Liferay DXP versión 7.2, DXP ??versión 7.1 y DXP versión 7.0, la propiedad "portlet.resource.id.banned.paths.regexp" puede ser omitida con unas URL codificadas duplicadas. • https://issues.liferay.com/browse/LPE-17046 https://portal.liferay.dev/learn/security/known-vulnerabilities https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/119772204 •
CVE-2020-15842
https://notcve.org/view.php?id=CVE-2020-15842
Liferay Portal before 7.3.0, and Liferay DXP 7.0 before fix pack 90, 7.1 before fix pack 17, and 7.2 before fix pack 5, allows man-in-the-middle attackers to execute arbitrary code via crafted serialized payloads, because of insecure deserialization. Liferay Portal versiones anteriores a 7.3.0, y Liferay DXP versión 7.0 anterior al papuete 90, versión 7.1 anterior al paquete de corrección 17, y versión 7.2 anterior al paquete de corrección 5, permite a los atacantes man-in-the-middle ejecutar código arbitrario a través de cargas útiles seriadas, debido a la deserialización insegura • https://issues.liferay.com/browse/LPE-16963 https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/119317427 • CWE-502: Deserialization of Untrusted Data •
CVE-2020-15841
https://notcve.org/view.php?id=CVE-2020-15841
Liferay Portal before 7.3.0, and Liferay DXP 7.0 before fix pack 89, 7.1 before fix pack 17, and 7.2 before fix pack 4, does not safely test a connection to a LDAP server, which allows remote attackers to obtain the LDAP server's password via the Test LDAP Connection feature. Liferay Portal versiones anteriores a 7.3.0, y Liferay DXP versión 7.0 anterior al paquete de corrección 89, versión 7.1 anterior al paquete de corrección 17, y versión 7.2 anterior al paquete de corrección 4, no prueba de forma segura una conexión a un servidor LDAP, lo que permite a los atacantes remotos obtener la contraseña del servidor LDAP a través de la función Probar conexión LDAP • https://issues.liferay.com/browse/LPE-16928 https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/119317439 •