Vulnerabilidad en los servicios web JSON (JSONWS) en Liferay Portal (CVE-2020-7961)
Severidad:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
20/03/2020
Última modificación:
30/01/2021
Descripción
Una Deserialización de Datos No Confiables en Liferay Portal versiones anteriores a 7.2.1 CE GA2, permite a atacantes remotos ejecutar código arbitrario por medio de los servicios web JSON (JSONWS).
Impacto
Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Severidad 2.0
Pendiente de análisis
Productos y versiones vulnerables
- cpe:2.3:a:liferay:liferay_portal:*:*:*:*:community:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
- https://portal.liferay.dev/learn/security/known-vulnerabilities/-/asset_publisher/HbL5mxmVrnXW/content/id/117954271 (Origen:CONFIRM)
- https://portal.liferay.dev/learn/security/known-vulnerabilities (Origen:MISC)
- http://packetstormsecurity.com/files/157254/Liferay-Portal-Java-Unmarshalling-Remote-Code-Execution.html (Origen:MISC)
- http://packetstormsecurity.com/files/158392/Liferay-Portal-Remote-Code-Execution.html (Origen:MISC)
- https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/ (Origen:MISC)