Maven
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.08691
Распределение по критичности
Критический
2
Высокий
2
Средний
6
Низкий
1
Затронутые диапазоны версий
< 3.8.1
Также сопоставлено как (исходные строки): maven
Топ уязвимостей
BDU:2024-03775Уязвимость фреймворка Apache Maven связана с генерацией строк в двойных кавычках без надлежащего экранирования. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить атаки внедрения кода в командную оболочку
BDU:2023-05216Уязвимость фреймворка Apache Maven связана с недостатками в механизме подтверждения источника данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
CVE-2021-26291Apache Maven будет следовать репозиториям, которые определены в объектной модели проекта (pom) зависимости, что может удивить некоторых пользователей, что приведет к потенциальному риску, если злоумышленник захватит этот репозиторий или сможет занять позицию, чтобы выдать себя за этот репозиторий. Maven меняет поведение по умолчанию в версии 3.8.1+, чтобы больше не следовать ссылкам на репозиторий http (не-SSL) по умолчанию. Более подробная информация доступна по указанным URL-адресам. Если вы в настоящее время используете диспетчер репозиториев для управления репозиториями, используемыми вашими сборками, вы не подвержены рискам, связанным с устаревшим поведением, и не подвержены этой уязвимости и изменению поведения по умолчанию. См. эту ссылку для получения дополнительной информации об управлении репозиториями: https://maven.apache.org/repository-management.html.
BDU:2023-09017Уязвимость компонента logback receiver библиотеки логирования logback связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании
BDU:2024-00661Уязвимость библиотеки обработки объектных запросов JXPath связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2024-00660Уязвимость библиотеки обработки объектных запросов JXPath связана с записью за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
CVE-2013-0253Конфигурация Apache Maven 3.0.4 по умолчанию при использовании Maven Wagon 2.1 отключает проверки SSL-сертификатов, что позволяет удаленным злоумышленникам подделывать серверы посредством атаки "человек посередине" (MITM).
BDU:2023-04974Уязвимость функции FileBackedOutputStream набора Java-библиотек Google Guava связана с использованием файлов и каталогов, доступных внешним сторонам. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-01029Уязвимость библиотеки JUnit4 связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию
BDU:2021-02220Уязвимость метода FileNameUtils.normalize библиотеки Apache Commons IO связана с ошибками при обработке последовательностей обхода каталогов, таких как «//../foo» или «\ .. foo». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
BDU:2021-02413Уязвимость реализации функции Files.createTempDir() набора Java-библиотек Google Guava связана с неправильным назначением разрешений для временного каталога файлов. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации