CVSS: 6.5EPSS: 0%CPEs: 26EXPL: 0CVE-2020-15839
https://notcve.org/view.php?id=CVE-2020-15839
Liferay Portal before 7.3.3, and Liferay DXP 7.1 before fix pack 18 and 7.2 before fix pack 6, does not restrict the size of a multipart/form-data POST action, which allows remote authenticated users to conduct denial-of-service attacks by uploading large files. Liferay Portal versiones anteriores a 7.3.3, y Liferay DXP versiones 7.1 anteriores a fixpack 18 y versiones 7.2 anteriores a fixpack 6, no reucir ataques de denegación de servicio mediante la carga de archivos grandes • https://issues.liferay.com/browse/LPE-17029 https://issues.liferay.com/browse/LPE-17055 https://portal.liferay.dev/learn/security/known-vulnerabilities https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/119784928 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-24554
https://notcve.org/view.php?id=CVE-2020-24554
The redirect module in Liferay Portal before 7.3.3 does not limit the number of URLs resulting in a 404 error that is recorded, which allows remote attackers to perform a denial of service attack by making repeated requests for pages that do not exist. El módulo de redireccionamiento en Liferay Portal versiones anteriores a 7.3.3 no limita el numero de URLs resultando en un error 404 que es registrado, permitiendo a atacantes remotos llevar a cabo un ataque de denegación de servicio al realizar peticiones repetidas de páginas que no existen • https://portal.liferay.dev/learn/security/known-vulnerabilities https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/119784956 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 8.1EPSS: 0%CPEs: 75EXPL: 0CVE-2020-15842
https://notcve.org/view.php?id=CVE-2020-15842
Liferay Portal before 7.3.0, and Liferay DXP 7.0 before fix pack 90, 7.1 before fix pack 17, and 7.2 before fix pack 5, allows man-in-the-middle attackers to execute arbitrary code via crafted serialized payloads, because of insecure deserialization. Liferay Portal versiones anteriores a 7.3.0, y Liferay DXP versión 7.0 anterior al papuete 90, versión 7.1 anterior al paquete de corrección 17, y versión 7.2 anterior al paquete de corrección 5, permite a los atacantes man-in-the-middle ejecutar código arbitrario a través de cargas útiles seriadas, debido a la deserialización insegura • https://issues.liferay.com/browse/LPE-16963 https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/119317427 • CWE-502: Deserialization of Untrusted Data •
CVSS: 8.8EPSS: 0%CPEs: 73EXPL: 0CVE-2020-15841
https://notcve.org/view.php?id=CVE-2020-15841
Liferay Portal before 7.3.0, and Liferay DXP 7.0 before fix pack 89, 7.1 before fix pack 17, and 7.2 before fix pack 4, does not safely test a connection to a LDAP server, which allows remote attackers to obtain the LDAP server's password via the Test LDAP Connection feature. Liferay Portal versiones anteriores a 7.3.0, y Liferay DXP versión 7.0 anterior al paquete de corrección 89, versión 7.1 anterior al paquete de corrección 17, y versión 7.2 anterior al paquete de corrección 4, no prueba de forma segura una conexión a un servidor LDAP, lo que permite a los atacantes remotos obtener la contraseña del servidor LDAP a través de la función Probar conexión LDAP • https://issues.liferay.com/browse/LPE-16928 https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/119317439 •
CVSS: 6.5EPSS: 0%CPEs: 7EXPL: 0CVE-2020-13444
https://notcve.org/view.php?id=CVE-2020-13444
Liferay Portal 7.x before 7.3.2, and Liferay DXP 7.0 before fix pack 92, 7.1 before fix pack 18, and 7.2 before fix pack 5 does not sanitize the information returned by the DDMDataProvider API, which allows remote authenticated users to obtain the password to REST Data Providers. Liferay Portal versiones 7.x anteriores a 7.3.2 y Liferay DXP versiones 7.0 anteriores a fixpack 92, versiones 7.1 anteriores a fixpack 18 y versiones 7.2 anteriores a fixpack 5, no sanean la información devuelta por la API DDMDataProvider, que permite a los usuarios autenticados remotos obtener la contraseña en REST Data Providers • https://issues.liferay.com/browse/LPE-17009 https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/119317396 •