Deserialization of Untrusted Data in Liferay Portal prior to 7.2.1 CE GA2 allows remote attackers to execute arbitrary code via JSON web services (JSONWS).
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLiferay Portal
APPLiferay< 7.2.1
CISA KEV — szczegółyi
- Dostawcai
- Liferay
- Produkti
- Liferay Portal
- Data dodania do KEVi
- 3 listopada 2021
- Termin remediation (USA)i
- 3 maja 2022(po terminie)
Zastosuj aktualizacje zgodnie z instrukcjami producenta.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
Portal Liferay zawiera lukę dotyczącą deserializacji niezaufanych danych, która umożliwia zdalnymi atakującym wykonanie kodu za pośrednictwem serwisów internetowych JSON.
▸ Pokaż oryginał (EN)
Liferay Portal contains a deserialization of untrusted data vulnerability that allows remote attackers to execute code via JSON web services.
Powiązane podatności
Liferay Portal/DXP: CSRF w Script Console umożliwia wykonanie kodu Groovy
RCE w komponencie workflow Liferay Portal i DXP — brak weryfikacji uprawnień
Stored XSS w widżecie Document and Media platformy Liferay
Reflected XSS w Liferay Portal i DXP na stronie przypisywania ról
Reflected XSS w ustawieniach kont Liferay Portal i DXP