Liferay Portal
Уязвимости
320
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.99783
Распределение по критичности
Критический
6
Высокий
43
Средний
261
Низкий
10
Затронутые диапазоны версий
5.1.0–5.1.26.0.0–6.0.56.2.3–7.3.37.0.0–7.0.67.0.0–7.3.27.0.0–7.3.37.0.0–7.3.57.0.0–7.3.77.0.0–7.4.27.0.0–7.4.3.1007.0.0–7.4.3.1207.0.0–7.4.3.1327.0.0–7.4.3.217.0.0–7.4.3.47.0.0–7.4.3.57.0.0–7.4.3.887.0.0–7.4.3.987.0.1–7.4.27.0.3–7.3.57.1.0–7.2.17.1.0–7.3.07.1.0–7.3.17.1.0–7.3.27.1.0–7.3.3
Также сопоставлено как (исходные строки): digital_experience_platform,liferay_portal,dxp,liferay portal
Топ уязвимостей
CVE-2022-42122Уязвимость SQL-инъекции в модуле Friendly Url в Liferay Portal 7.3.7 и Liferay DXP 7.3 fix pack 2 through update 4 позволяет злоумышленникам выполнять произвольные SQL-команды с помощью специально созданной полезной нагрузки, внедренной в поле `title` понятного URL-адреса.
CVE-2022-42120Уязвимость SQL-инъекции в модуле Fragment в Liferay Portal 7.3.3–7.4.3.16 и Liferay DXP 7.3 до обновления 4 и 7.4 до обновления 17 позволяет злоумышленникам выполнять произвольные SQL-команды через атрибут PortletPreferences `namespace`.
CVE-2021-33990Liferay Portal 6.2.5 позволяет выполнять запросы Command=FileUpload&Type=File&CurrentFolder=/, когда существует frmfolders.html. ПРИМЕЧАНИЕ: Производитель оспаривает эту проблему, потому что ссылка на exploit показывает только, что frmfolders.html доступен и не демонстрирует, как несанкционированный пользователь может загрузить файл.
CVE-2020-7961Десериализация ненадежных данных в Liferay Portal до 7.2.1 CE GA2 позволяет удаленным злоумышленникам выполнять произвольный код через веб-сервисы JSON (JSONWS).
CVE-2019-16891Liferay Portal CE 6.2.5 позволяет удаленно выполнять команды из-за десериализации полезной нагрузки JSON.
BDU:2021-04180Уязвимость веб-службы JSON (JSONWS) веб-интерфейса для доступа к корпоративным приложениям Liferay Portal связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2024-38002Компонент workflow в Liferay Portal с 7.3.2 по 7.4.3.111 и Liferay DXP с 2023.Q4.0 по 2023.Q4.5, с 2023.Q3.1 по 2023.Q3.8, 7.4 GA по update 92 и 7.3 GA по update 36 неправильно проверяет разрешения пользователя перед обновлением определения workflow, что позволяет удаленным аутентифицированным пользователям изменять определения workflow и выполнять произвольный код (RCE) через headless API.
CVE-2024-26273Уязвимость межсайтовой подделки запросов (CSRF) в редакторе страниц контента в Liferay Portal 7.4.0 - 7.4.3.103 и Liferay DXP 2023.Q4.0 - 2023.Q4.2, 2023.Q3.1 - 2023.Q3.5, 7.4 GA - обновления 92 и 7.3 обновления 29 - обновления 35 позволяет удаленным злоумышленникам (1) изменять пароли пользователей, (2) завершать работу сервера, (3) выполнять произвольный код в консоли сценариев, (4) и выполнять другие административные действия через параметр _com_liferay_commerce_catalog_web_internal_portlet_CommerceCatalogsPortlet_redirect.
CVE-2024-26272Уязвимость межсайтовой подделки запросов (CSRF) в редакторе страниц контента в Liferay Portal 7.3.2 - 7.4.3.107 и Liferay DXP 2023.Q4.0 - 2023.Q4.2, 2023.Q3.1 - 2023.Q3.5, 7.4 GA - обновления 92 и 7.3 GA - обновления 35 позволяет удаленным злоумышленникам (1) изменять пароли пользователей, (2) завершать работу сервера, (3) выполнять произвольный код в консоли сценариев, (4) и выполнять другие административные действия через параметр p_l_back_url.
CVE-2024-26271Уязвимость межсайтовой подделки запросов (CSRF) в виджете My Account в Liferay Portal 7.4.3.75 - 7.4.3.111 и Liferay DXP 2023.Q4.0 - 2023.Q4.2, 2023.Q3.1 - 2023.Q3.5, 7.4 обновления 75 - обновления 92 и 7.3 обновления 32 - обновления 36 позволяет удаленным злоумышленникам (1) изменять пароли пользователей, (2) завершать работу сервера, (3) выполнять произвольный код в консоли сценариев, (4) и выполнять другие административные действия через параметр _com_liferay_my_account_web_portlet_MyAccountPortlet_backURL.
CVE-2023-35030Уязвимость межсайтовой подделки запросов (CSRF) в SEO-конфигурации модуля Layout в Liferay Portal версий 7.4.3.70 - 7.4.3.76 и Liferay DXP 7.4 update 70 - 76 позволяет удаленным злоумышленникам выполнять произвольный код в консоли сценариев через параметр `_com_liferay_layout_admin_web_portlet_GroupPagesPortlet_backURL`.
CVE-2022-42121Уязвимость SQL-инъекции в модуле Layout в Liferay Portal 7.1.3–7.4.3.4 и Liferay DXP 7.1 до исправления 27, 7.2 до исправления 17, 7.3 до пакета обновления 3 и 7.4 GA позволяет удаленным аутентифицированным злоумышленникам выполнять произвольные SQL-команды с помощью специально созданной полезной нагрузки, внедренной в поле «Имя» шаблона страницы.
CVE-2021-29053Множественные уязвимости SQL-инъекций в Liferay Portal 7.3.5 и Liferay DXP 7.3 до исправления 1 позволяют удаленным аутентифицированным пользователям выполнять произвольные SQL-команды через параметр classPKField в (1) CommerceChannelRelFinder.countByC_C или (2) CommerceChannelRelFinder.findByC_C.
CVE-2020-15841Liferay Portal до версии 7.3.0 и Liferay DXP 7.0 до пакета исправлений 89, 7.1 до пакета исправлений 17 и 7.2 до пакета исправлений 4 небезопасно проверяет соединение с сервером LDAP, что позволяет удаленным злоумышленникам получить пароль сервера LDAP через функцию Test LDAP Connection.
CVE-2020-13445В Liferay Portal до версии 7.3.2 и Liferay DXP 7.0 до исправления pack 92, 7.1 до исправления pack 18 и 7.2 до исправления pack 6 API шаблонов не ограничивает доступ пользователей к конфиденциальным объектам, что позволяет удаленным аутентифицированным пользователям выполнять произвольный код через созданные шаблоны FreeMarker и Velocity.
CVE-2018-10795Liferay 6.2.x и более ранние версии имеют конфигурацию FCKeditor, которая позволяет злоумышленнику загружать или передавать файлы опасных типов, которые могут автоматически обрабатываться в среде продукта через URI browser/liferay/browser.html?Type= или html/js/editor/fckeditor/editor/filemanager/browser/liferay/browser.html. ПРИМЕЧАНИЕ: поставщик оспаривает эту проблему, поскольку загрузка файлов является ожидаемой функцией, подлежащей проверкам контроля доступа на основе ролей, где только аутентифицированные пользователи с надлежащими разрешениями могут загружать файлы.
CVE-2010-5327Liferay Portal до версии 6.2.10 позволяет удаленным аутентифицированным пользователям выполнять произвольные команды оболочки через специально созданный шаблон Velocity.
CVE-2025-3602Liferay Portal 7.4.0 до 7.4.3.97 и Liferay DXP 2023.Q3.1 до 2023.Q3.2, 7.4 GA через обновление 92, 7.3 GA через обновление 35 и 7.2 fix pack 8 через fix Pack 20 не ограничивает глубину запросов GraphQL, что позволяет удаленным злоумышленникам выполнять атаки отказа в обслуживании (DoS) на приложение, выполняя сложные запросы.
CVE-2025-3526SessionClicks в Liferay Portal 7.0.0 до 7.4.3.21 и Liferay DXP 7.4 GA через обновление 9, 7.3 GA через обновление 25 и более старые неподдерживаемые версии не ограничивают сохранение параметров запроса в HTTP-сессии, что позволяет удаленным злоумышленникам потреблять системную память, ведущую к условиям отказа в обслуживании (DoS) через созданные HTTP-запросы.
CVE-2024-25606XXE уязвимость в Liferay Portal 7.2.0 through 7.4.3.7, и более старых неподдерживаемых версиях, и Liferay DXP 7.4 before update 4, 7.3 before update 12, 7.2 before fix pack 20, и более старых неподдерживаемых версиях позволяет злоумышленникам с разрешением на развертывание виджетов/портлетов/расширений получать конфиденциальную информацию или потреблять системные ресурсы через метод Java2WsddTask._format.
CVE-2025-3594Уязвимость прохождения пути с загрузкой и установкой Xuggler в Liferay Portal 7.0.0 до 7.4.3.4 и Liferay DXP 7.4 GA, 7.3 GA через обновление 34 и более старые неподдерживаемые версии позволяют удаленным злоумышленникам (1) добавлять файлы в произвольные местоположения на сервере и (2) загружать и выполнять произвольные файлы с сервера загрузки через `com_liferay_server_admin_web_
CVE-2024-25148В Liferay Portal 7.2.0–7.4.1 и более старых неподдерживаемых версиях, а также Liferay DXP 7.3 до пакета обновления 3, 7.2 до пакета исправлений 15 и более старых неподдерживаемых версиях параметр URL-адреса `doAsUserId` может быть раскрыт при создании связанного контента с использованием редактора WYSIWYG и при олицетворении пользователя. Это может позволить удаленным аутентифицированным пользователям олицетворять пользователя после доступа к связанному контенту.
CVE-2023-33945Уязвимость SQL-инъекции в процессе обновления для SQL Server в Liferay Portal 7.3.1 до 7.4.3.17 и Liferay DXP 7.3 до обновления 6 и 7.4 до обновления 18 позволяет злоумышленникам выполнять произвольные SQL-команды через имя индекса первичного ключа таблицы базы данных. Эта уязвимость может быть использована только в сочетании с другими атаками. Чтобы использовать эту уязвимость, злоумышленник должен изменить базу данных и дождаться обновления приложения.
CVE-2020-15842Liferay Portal до версии 7.3.0 и Liferay DXP 7.0 до пакета исправлений 90, 7.1 до пакета исправлений 17 и 7.2 до пакета исправлений 5 допускает атаки типа «человек посередине» для выполнения произвольного кода через специально созданные сериализованные полезные нагрузки из-за небезопасной десериализации.
CVE-2025-3586В Liferay Portal 7.4.3.27 - 7.4.3.42 и Liferay DXP 2024.Q1.1 - 2024.Q1.20, 2023.Q4.0 - 2023.Q4.10, 2023.Q3.1 - 2023.Q3.10, 7.4 обновление 27 - обновление 42 (Liferay PaaS и Liferay Self-Hosted) модуль Objects не ограничивает использование Groovy-скриптов в действиях Object для администраторов. Это позволяет удаленным аутентифицированным администраторам с ролью Instance Administrator выполнять произвольные Groovy-скрипты через действия Object. Начиная с Liferay DXP 2024.Q2, введена новая функция в настройках экземпляра, позволяющая администраторам настраивать разрешение на использование Groovy-скриптов [1].
Источники:
- [1] https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/CVE-2025-3586