Digital Experience Platform
Уязвимости
264
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.03286
Распределение по критичности
Критический
0
Высокий
31
Средний
225
Низкий
8
Затронутые диапазоны версий
2023.Q3.0–2023.Q3.52023.Q3.1–2023.Q3.102023.Q3.1–2023.Q3.42023.Q3.1–2023.Q3.72023.Q3.1–2023.Q3.82023.q3.1–2023.q3.22023.q3.1–2023.q3.52023.q3.1–2023.q3.62023.q3.1–2023.q3.92023.q4.0–2023.q4.102023.q4.0–2023.q4.32024.Q1.1–2024.Q1.102024.Q1.1–2024.Q1.132024.Q1.1–2024.Q1.142024.Q1.1–2024.Q1.152024.Q1.1–2024.Q1.162024.Q1.1–2024.Q1.172024.Q1.1–2024.Q1.182024.Q1.1–2024.Q1.192024.Q1.1–2024.Q1.202024.Q1.9–2024.Q1.202024.q1.1–2024.q1.122024.q1.1–2024.q1.132024.q1.1–2024.q1.15
Также сопоставлено как (исходные строки): digital_experience_platform,liferay_portal,dxp
Топ уязвимостей
CVE-2024-38002Компонент workflow в Liferay Portal с 7.3.2 по 7.4.3.111 и Liferay DXP с 2023.Q4.0 по 2023.Q4.5, с 2023.Q3.1 по 2023.Q3.8, 7.4 GA по update 92 и 7.3 GA по update 36 неправильно проверяет разрешения пользователя перед обновлением определения workflow, что позволяет удаленным аутентифицированным пользователям изменять определения workflow и выполнять произвольный код (RCE) через headless API.
CVE-2024-26273Уязвимость межсайтовой подделки запросов (CSRF) в редакторе страниц контента в Liferay Portal 7.4.0 - 7.4.3.103 и Liferay DXP 2023.Q4.0 - 2023.Q4.2, 2023.Q3.1 - 2023.Q3.5, 7.4 GA - обновления 92 и 7.3 обновления 29 - обновления 35 позволяет удаленным злоумышленникам (1) изменять пароли пользователей, (2) завершать работу сервера, (3) выполнять произвольный код в консоли сценариев, (4) и выполнять другие административные действия через параметр _com_liferay_commerce_catalog_web_internal_portlet_CommerceCatalogsPortlet_redirect.
CVE-2024-26272Уязвимость межсайтовой подделки запросов (CSRF) в редакторе страниц контента в Liferay Portal 7.3.2 - 7.4.3.107 и Liferay DXP 2023.Q4.0 - 2023.Q4.2, 2023.Q3.1 - 2023.Q3.5, 7.4 GA - обновления 92 и 7.3 GA - обновления 35 позволяет удаленным злоумышленникам (1) изменять пароли пользователей, (2) завершать работу сервера, (3) выполнять произвольный код в консоли сценариев, (4) и выполнять другие административные действия через параметр p_l_back_url.
CVE-2024-26271Уязвимость межсайтовой подделки запросов (CSRF) в виджете My Account в Liferay Portal 7.4.3.75 - 7.4.3.111 и Liferay DXP 2023.Q4.0 - 2023.Q4.2, 2023.Q3.1 - 2023.Q3.5, 7.4 обновления 75 - обновления 92 и 7.3 обновления 32 - обновления 36 позволяет удаленным злоумышленникам (1) изменять пароли пользователей, (2) завершать работу сервера, (3) выполнять произвольный код в консоли сценариев, (4) и выполнять другие административные действия через параметр _com_liferay_my_account_web_portlet_MyAccountPortlet_backURL.
CVE-2022-42121Уязвимость SQL-инъекции в модуле Layout в Liferay Portal 7.1.3–7.4.3.4 и Liferay DXP 7.1 до исправления 27, 7.2 до исправления 17, 7.3 до пакета обновления 3 и 7.4 GA позволяет удаленным аутентифицированным злоумышленникам выполнять произвольные SQL-команды с помощью специально созданной полезной нагрузки, внедренной в поле «Имя» шаблона страницы.
CVE-2020-15841Liferay Portal до версии 7.3.0 и Liferay DXP 7.0 до пакета исправлений 89, 7.1 до пакета исправлений 17 и 7.2 до пакета исправлений 4 небезопасно проверяет соединение с сервером LDAP, что позволяет удаленным злоумышленникам получить пароль сервера LDAP через функцию Test LDAP Connection.
CVE-2025-3602Liferay Portal 7.4.0 до 7.4.3.97 и Liferay DXP 2023.Q3.1 до 2023.Q3.2, 7.4 GA через обновление 92, 7.3 GA через обновление 35 и 7.2 fix pack 8 через fix Pack 20 не ограничивает глубину запросов GraphQL, что позволяет удаленным злоумышленникам выполнять атаки отказа в обслуживании (DoS) на приложение, выполняя сложные запросы.
CVE-2025-3526SessionClicks в Liferay Portal 7.0.0 до 7.4.3.21 и Liferay DXP 7.4 GA через обновление 9, 7.3 GA через обновление 25 и более старые неподдерживаемые версии не ограничивают сохранение параметров запроса в HTTP-сессии, что позволяет удаленным злоумышленникам потреблять системную память, ведущую к условиям отказа в обслуживании (DoS) через созданные HTTP-запросы.
CVE-2024-25606XXE уязвимость в Liferay Portal 7.2.0 through 7.4.3.7, и более старых неподдерживаемых версиях, и Liferay DXP 7.4 before update 4, 7.3 before update 12, 7.2 before fix pack 20, и более старых неподдерживаемых версиях позволяет злоумышленникам с разрешением на развертывание виджетов/портлетов/расширений получать конфиденциальную информацию или потреблять системные ресурсы через метод Java2WsddTask._format.
CVE-2025-3594Уязвимость прохождения пути с загрузкой и установкой Xuggler в Liferay Portal 7.0.0 до 7.4.3.4 и Liferay DXP 7.4 GA, 7.3 GA через обновление 34 и более старые неподдерживаемые версии позволяют удаленным злоумышленникам (1) добавлять файлы в произвольные местоположения на сервере и (2) загружать и выполнять произвольные файлы с сервера загрузки через `com_liferay_server_admin_web_
CVE-2024-25148В Liferay Portal 7.2.0–7.4.1 и более старых неподдерживаемых версиях, а также Liferay DXP 7.3 до пакета обновления 3, 7.2 до пакета исправлений 15 и более старых неподдерживаемых версиях параметр URL-адреса `doAsUserId` может быть раскрыт при создании связанного контента с использованием редактора WYSIWYG и при олицетворении пользователя. Это может позволить удаленным аутентифицированным пользователям олицетворять пользователя после доступа к связанному контенту.
CVE-2023-33945Уязвимость SQL-инъекции в процессе обновления для SQL Server в Liferay Portal 7.3.1 до 7.4.3.17 и Liferay DXP 7.3 до обновления 6 и 7.4 до обновления 18 позволяет злоумышленникам выполнять произвольные SQL-команды через имя индекса первичного ключа таблицы базы данных. Эта уязвимость может быть использована только в сочетании с другими атаками. Чтобы использовать эту уязвимость, злоумышленник должен изменить базу данных и дождаться обновления приложения.
CVE-2020-15842Liferay Portal до версии 7.3.0 и Liferay DXP 7.0 до пакета исправлений 90, 7.1 до пакета исправлений 17 и 7.2 до пакета исправлений 5 допускает атаки типа «человек посередине» для выполнения произвольного кода через специально созданные сериализованные полезные нагрузки из-за небезопасной десериализации.
CVE-2025-3586В Liferay Portal 7.4.3.27 - 7.4.3.42 и Liferay DXP 2024.Q1.1 - 2024.Q1.20, 2023.Q4.0 - 2023.Q4.10, 2023.Q3.1 - 2023.Q3.10, 7.4 обновление 27 - обновление 42 (Liferay PaaS и Liferay Self-Hosted) модуль Objects не ограничивает использование Groovy-скриптов в действиях Object для администраторов. Это позволяет удаленным аутентифицированным администраторам с ролью Instance Administrator выполнять произвольные Groovy-скрипты через действия Object. Начиная с Liferay DXP 2024.Q2, введена новая функция в настройках экземпляра, позволяющая администраторам настраивать разрешение на использование Groovy-скриптов [1].
Источники:
- [1] https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-3586
CVE-2024-25607Алгоритм хеширования паролей по умолчанию (PBKDF2-HMAC-SHA1) в Liferay Portal 7.2.0 through 7.4.3.15, и более старых неподдерживаемых версиях, и Liferay DXP 7.4 before update 16, 7.3 before update 4, 7.2 before fix pack 17, и более старых неподдерживаемых версиях по умолчанию использует низкий коэффициент работы, что позволяет злоумышленникам быстро взламывать хеши паролей.
CVE-2023-33950Pattern Redirects в Liferay Portal 7.4.3.48 до 7.4.3.76 и Liferay DXP 7.4 update 48 до 76 позволяет использовать регулярные выражения, уязвимые для атак ReDoS, в качестве шаблонов, что позволяет удаленным злоумышленникам потреблять чрезмерный объем серверных ресурсов через специально созданные URL-адреса запросов.
CVE-2023-33949В Liferay Portal 7.3.0 и более ранних версиях, а также в Liferay DXP 7.2 и более ранних версиях конфигурация по умолчанию не требует от пользователей подтверждения своего адреса электронной почты, что позволяет удаленным злоумышленникам создавать учетные записи с использованием поддельных адресов электронной почты или адресов электронной почты, которые они не контролируют. Свойство портала `company.security.strangers.verify` должно быть установлено в значение true.
CVE-2023-33948Модуль Dynamic Data Mapping в Liferay Portal 7.4.3.67 и Liferay DXP 7.4 update 67 не ограничивает файлы Document and Media, которые можно загрузить из формы, что позволяет удаленным злоумышленникам загружать любой файл из Document and Media через специально созданный URL-адрес.
CVE-2022-42125Уязвимость Zip slip в FileUtil.unzip в Liferay Portal 7.4.3.5–7.4.3.35 и Liferay DXP 7.4 update 1 through update 34 позволяет злоумышленникам создавать или перезаписывать существующие файлы в файловой системе посредством развертывания вредоносного плагина/модуля.
CVE-2022-42124Уязвимость ReDoS в LayoutPageTemplateEntryUpgradeProcess в Liferay Portal 7.3.2–7.4.3.4 и Liferay DXP 7.2 fix pack 9 through fix pack 18, 7.3 до обновления 4 и DXP 7.4 GA позволяет удаленным злоумышленникам потреблять чрезмерный объем серверных ресурсов с помощью специально созданной полезной нагрузки, внедренной в поле «имя» прототипа макета.
CVE-2022-42123Уязвимость Zip slip в Elasticsearch Connector в Liferay Portal 7.3.3–7.4.3.18 и Liferay DXP 7.3 до обновления 6 и 7.4 до обновления 19 позволяет злоумышленникам создавать или перезаписывать существующие файлы в файловой системе посредством установки вредоносного подключаемого модуля Elasticsearch Sidecar.
CVE-2021-38266Модуль Portal Security в Liferay Portal 7.2.1 и более ранних версиях, а также Liferay DXP 7.0 до исправления 90, 7.1 до исправления 17 и 7.2 до исправления 5 некорректно импортирует пользователей из LDAP, что позволяет удаленным злоумышленникам предотвратить аутентификацию законного пользователя, пытаясь войти в систему как пользователь, существующий в LDAP.
CVE-2021-33338Модуль Layout в Liferay Portal 7.1.0 - 7.3.2 и Liferay DXP 7.1 до исправления fix pack 19 и 7.2 до исправления fix pack 6 предоставляет CSRF-токен в URL-адресах, что позволяет злоумышленникам типа "человек посередине" получать токен и проводить атаки Cross-Site Request Forgery (CSRF) через параметр p_auth.
CVE-2021-33323Модуль Dynamic Data Mapping в Liferay Portal 7.1.0 - 7.3.2 и Liferay DXP 7.1 до исправления 19 и 7.2 до исправления 7 автоматически сохраняет значения форм для неаутентифицированных пользователей, что позволяет удаленным злоумышленникам просматривать автоматически сохраненные значения, просматривая форму как неаутентифицированный пользователь.
CVE-2021-33322В Liferay Portal 7.3.0 и более ранних версиях, а также Liferay DXP 7.0 до исправления 96, 7.1 до исправления 18 и 7.2 до исправления 5 токены сброса пароля не аннулируются после того, как пользователь меняет свой пароль, что позволяет удаленным злоумышленникам изменить пароль пользователя через старый токен сброса пароля.