Wss4j
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.22709
Распределение по критичности
Критический
0
Высокий
2
Средний
4
Низкий
0
Затронутые диапазоны версий
< 1.6.17< 1.6.5≤ 1.6.16
Также сопоставлено как (исходные строки): wss4j,cxf,velocity_engine
Топ уязвимостей
CVE-2020-13936Атакующий, который может изменять шаблоны Velocity, может выполнить произвольный Java-код или запустить произвольные системные команды с теми же привилегиями, что и учетная запись, запускающая контейнер сервлетов. Это относится к приложениям, которые позволяют ненадежным пользователям загружать/изменять шаблоны velocity, работающие на версиях Apache Velocity Engine до 2.2.
CVE-2015-0226Apache WSS4J до 1.6.17 и 2.0.x до 2.0.2 неправильно раскрывает информацию о сбоях расшифровки при расшифровке зашифрованного ключа или данных сообщения, что облегчает удаленным злоумышленникам восстановление формы открытого текста симметричного ключа через серию специально созданных сообщений. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2011-2487.
CVE-2011-2487Реализации механизма транспортировки ключей PKCS#1 v1.5 для XMLEncryption в JBossWS и Apache WSS4J до версии 1.6.5 подвержены атаке Bleichenbacher.
BDU:2022-06637Уязвимость программного средства Apache WSS4J и каркаса для веб-сервисов Apache CXF связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процесс аутентификации
CVE-2014-3623Apache WSS4J до версий 1.6.17 и 2.x до 2.0.2, используемый в Apache CXF 2.7.x до 2.7.13 и 3.0.x до 3.0.2, при использовании TransportBinding, неправильно обеспечивает безопасность семантики метода SAML SubjectConfirmation, что позволяет удаленным злоумышленникам проводить атаки с подменой через неуказанные векторы.
CVE-2015-0227Apache WSS4J до 1.6.17 и 2.x до 2.0.2 позволяет удаленным злоумышленникам обходить конфигурацию requireSignedEncryptedDataElements через векторы, связанные с "атаками обертывания".