CVSS: 8.1EPSS: 0%CPEs: 75EXPL: 0CVE-2020-15842
https://notcve.org/view.php?id=CVE-2020-15842
Liferay Portal before 7.3.0, and Liferay DXP 7.0 before fix pack 90, 7.1 before fix pack 17, and 7.2 before fix pack 5, allows man-in-the-middle attackers to execute arbitrary code via crafted serialized payloads, because of insecure deserialization. Liferay Portal versiones anteriores a 7.3.0, y Liferay DXP versión 7.0 anterior al papuete 90, versión 7.1 anterior al paquete de corrección 17, y versión 7.2 anterior al paquete de corrección 5, permite a los atacantes man-in-the-middle ejecutar código arbitrario a través de cargas útiles seriadas, debido a la deserialización insegura • https://issues.liferay.com/browse/LPE-16963 https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/119317427 • CWE-502: Deserialization of Untrusted Data •
CVSS: 8.8EPSS: 0%CPEs: 73EXPL: 0CVE-2020-15841
https://notcve.org/view.php?id=CVE-2020-15841
Liferay Portal before 7.3.0, and Liferay DXP 7.0 before fix pack 89, 7.1 before fix pack 17, and 7.2 before fix pack 4, does not safely test a connection to a LDAP server, which allows remote attackers to obtain the LDAP server's password via the Test LDAP Connection feature. Liferay Portal versiones anteriores a 7.3.0, y Liferay DXP versión 7.0 anterior al paquete de corrección 89, versión 7.1 anterior al paquete de corrección 17, y versión 7.2 anterior al paquete de corrección 4, no prueba de forma segura una conexión a un servidor LDAP, lo que permite a los atacantes remotos obtener la contraseña del servidor LDAP a través de la función Probar conexión LDAP • https://issues.liferay.com/browse/LPE-16928 https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/119317439 •
CVSS: 9.8EPSS: 97%CPEs: 1EXPL: 12CVE-2020-7961 – Liferay Portal Deserialization of Untrusted Data Vulnerability
https://notcve.org/view.php?id=CVE-2020-7961
Deserialization of Untrusted Data in Liferay Portal prior to 7.2.1 CE GA2 allows remote attackers to execute arbitrary code via JSON web services (JSONWS). Una Deserialización de Datos No Confiables en Liferay Portal versiones anteriores a 7.2.1 CE GA2, permite a atacantes remotos ejecutar código arbitrario por medio de los servicios web JSON (JSONWS). Liferay Portal contains a deserialization of untrusted data vulnerability that allows remote attackers to execute code via JSON web services. • https://www.exploit-db.com/exploits/48332 https://github.com/mzer0one/CVE-2020-7961-POC https://github.com/ShutdownRepo/CVE-2020-7961 https://github.com/CrackerCat/CVE-2020-7961-Mass https://github.com/shacojx/LifeRCEJsonWSTool-POC-CVE-2020-7961-Gui https://github.com/shacojx/POC-CVE-2020-7961-Token-iterate https://github.com/shacojx/GLiferay-CVE-2020-7961-golang https://github.com/thelostworldFree/CVE-2020-7961-payloads https://github.com/manrop2702/CVE-2020-7961 https://githu • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.8EPSS: 1%CPEs: 75EXPL: 3CVE-2019-16891
https://notcve.org/view.php?id=CVE-2019-16891
Liferay Portal CE 6.2.5 allows remote command execution because of deserialization of a JSON payload. Liferay Portal CE versión 6.2.5, permite la ejecución de comandos remota debido a la deserialización de una carga útil JSON. • https://dappsec.substack.com/p/an-advisory-for-cve-2019-16891-from https://sec.vnpt.vn/2019/09/liferay-deserialization-json-deserialization-part-4 https://www.liferay.com/downloads-community https://www.youtube.com/watch?v=DjMEfQW3bf0 • CWE-502: Deserialization of Untrusted Data •
CVSS: 6.1EPSS: 0%CPEs: 9EXPL: 0CVE-2019-16147
https://notcve.org/view.php?id=CVE-2019-16147
Liferay Portal through 7.2.0 GA1 allows XSS via a journal article title to journal_article/page.jsp in journal/journal-taglib. Liferay Portal versiones hasta 7.2.0 GA1, permite un ataque de tipo XSS por medio de un título de artículo de revista en el archivo journal_article/page.jsp en journal/journal-taglib. • https://github.com/liferay/liferay-portal/commit/7e063aed70f947a92bb43a4471e0c4e650fe8f7f • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •