Shenyu
Уязвимости
13
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.79007
Распределение по критичности
Критический
5
Высокий
7
Средний
1
Низкий
0
Также сопоставлено как (исходные строки): shenyu
Топ уязвимостей
CVE-2021-45029Внедрение кода Groovy & SpEL, которое приводит к удаленному выполнению кода. Эта проблема затронула Apache ShenYu 2.4.0 и 2.4.1.
CVE-2021-37580Обнаружена уязвимость в Apache ShenYu Admin. Некорректное использование JWT в ShenyuAdminBootstrap позволяет злоумышленнику обойти аутентификацию. Эта проблема затронула Apache ShenYu 2.3.0 и 2.4.0.
BDU:2022-00791Уязвимость программного обеспечения Apache ShenYu связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью Groovy Code injection или SpEL injection
CVE-2022-23944Пользователь может получить доступ к /plugin api без аутентификации. Эта проблема затронула Apache ShenYu 2.4.0 и 2.4.1.
BDU:2022-01057Уязвимость программного обеспечения Apache ShenYu связана с отсутствием авторизации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти введенные ограничения безопасности и получить доступ к /plugin API без авторизации
CVE-2022-42735Неправильное управление привилегиями в Apache Software Foundation Apache ShenYu.
ShenYu Admin позволяет администраторам с низкими привилегиями создавать пользователей с более высокими привилегиями, чем у них.
Эта проблема затрагивает Apache ShenYu: 2.5.0.
Обновитесь до Apache ShenYu 2.5.1 или примените исправление https://github.com/apache/shenyu/pull/3958 https://github.com/apache/shenyu/pull/3958 .
CVE-2022-37435Apache ShenYu Admin имеет небезопасные разрешения, которые могут позволить администраторам с низкими привилегиями изменять пароли администраторам с высокими привилегиями. Эта проблема затрагивает Apache ShenYu 2.4.2 и 2.4.3.
CVE-2022-26650В Apache ShenYui, ShenYu-Bootstrap, RegexPredicateJudge.java использует Pattern.matches(conditionData.getParamValue(), realData) для вынесения суждений, где оба параметра контролируются пользователем. Это может привести к тому, что злоумышленник передаст вредоносные регулярные выражения и символы, вызывающие истощение ресурсов. Эта проблема затрагивает Apache ShenYu (incubating) 2.4.0, 2.4.1 и 2.4.2 и исправлена в 2.4.3.
CVE-2022-23945Отсутствует аутентификация в ShenYu Admin при регистрации по HTTP. Эта проблема затронула Apache ShenYu 2.4.0 и 2.4.1.
CVE-2022-23223В Apache ShenYu версий 2.4.0 и 2.4.1 существовала конечная точка, раскрывающая пароли всех пользователей. Пользователям рекомендуется обновиться до версии 2.4.2 или более поздней.
BDU:2022-01061Уязвимость программного обеспечения Apache ShenYu связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить регистрационные данные пользователя с помощью специально сформированного HTTP-запроса
BDU:2022-01056Уязвимость программного обеспечения Apache ShenYu связана с отсутствием авторизации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти введенные ограничения безопасности
CVE-2023-25753Существует уязвимость SSRF (Server-Side Request Forgery), расположенная в конечной точке /sandbox/proxyGateway. Эта уязвимость позволяет нам манипулировать произвольными запросами и получать соответствующие ответы, вводя любой URL-адрес в параметр requestUrl.
Особую озабоченность вызывает наша способность контролировать HTTP-метод, файлы cookie, IP-адрес и заголовки. Это фактически дает нам возможность отправлять полные HTTP-запросы на выбранные нами хосты.
Эта проблема затрагивает Apache ShenYu: 2.5.1.
Обновитесь до Apache ShenYu 2.6.0 или примените исправление https://github.com/apache/shenyu/pull/4776.