Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Linuxfoundation›Приложениеnvd,anchore_overrides

Dragonfly

Уязвимости

13

Эксплуатируемые

0

Макс. CVSS

9.8

Макс. EPSS

0.29837

Распределение по критичности

Критический

1

Высокий

3

Средний

5

Низкий

4

Затронутые диапазоны версий

< 2.0.9< 2.1.0< 2.1.10< 2.4.1-rc.1

Также сопоставлено как (исходные строки): dragonfly

Топ уязвимостей

CVE-2023-27584Dragonfly — это система распространения файлов на основе P2P с открытым исходным кодом и система ускорения изображений. Она размещена Cloud Native Computing Foundation (CNCF) в качестве проекта инкубационного уровня. Dragonfly использует JWT для проверки пользователя. Однако секретный ключ для JWT, «Secret Key», жестко закодирован, что приводит к обходу аутентификации. Злоумышленник может выполнить любое действие от имени пользователя с правами администратора. Эта проблема была решена в версии 2.0.9. Всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.

CVE-2026-24124Dragonfly - это система распространения и ускорения изображений на основе P2P с открытым исходным кодом. В версиях 2.4.1-rc.0 и ниже конечные точки API для работы (/api/v1/jobs) не имеют промежуточных программ аутентификации JWT и проверки авторизации RBAC в конфигурации маршрутизации. Это позволяет любому неаутентичному пользователю с доступом к API Manager просматривать, обновлять и удалять вакансии. Выпуск исправлен в версии 2.4.1-rc.1.

CVE-2025-59353В Dragonfly, открытом проекте по распределению файлов и ускорению изображений на основе P2P, обнаружена уязвимость, связанная с выпуском сертификатов TLS для произвольных IP-адресов, что делает mTLS-аутентификацию бесполезной. Проблема решена в версии 2.1.0 [1]. Источники: - [1] https://github.com/dragonflyoss/dragonfly/security/advisories/GHSA-255v-qv84-29p5 - [2] https://github.com/dragonflyoss/dragonfly/blob/main/docs/security/dragonfly-comprehensive-report-2023.pdf

CVE-2025-59345В системе Dragonfly обнаружена уязвимость, связанная с отсутствием аутентификации для некоторых конечных точек Manager. Злоумышленник может воспользоваться этой уязвимостью для создания, удаления и изменения заданий, а также для создания заданий предварительного нагрева. Рекомендуется обновить систему до версии 2.1.0 или выше [1]. Источники: - [1] https://github.com/dragonflyoss/dragonfly/security/advisories/GHSA-89vc-vf32-ch59

CVE-2025-59352Dragonfly — это открытая система распределения файлов P2P и ускорения образов. До версии 2.1.0 API gRPC и HTTP API позволяют узлам отправлять запросы, которые заставляют принимающий узел создавать файлы в произвольных местах файловой системы и читать произвольные файлы. Это позволяет узлам красть секретные данные других узлов и получать возможности выполнения кода (RCE) на машине узла. Эта уязвимость исправлена в версии 2.1.0 [1]. Источники: - [1] https://github.com/dragonflyoss/dragonfly/security/advisories/GHSA-79hx-3fp8-hj66 - [2] https://github.com/dragonflyoss/dragonfly/blob/main/docs/security/dragonfly-comprehensive-report-2023.pdf

CVE-2025-59410В Dragonfly, открытом проекте по распределению файлов и ускорению изображений на основе P2P, обнаружена уязвимость, связанная с жестко закодированным использованием протокола HTTP при скачивании небольших файлов. Это позволяет атакующему выполнить MITM-атаку и заменить передаваемые данные [1]. Рекомендуется обновить Dragonfly до версии 2.1.0 или выше. Источники: - [1] https://github.com/dragonflyoss/dragonfly/security/advisories/GHSA-mcvp-rpgg-9273 - [2] https://github.com/dragonflyoss/dragonfly/blob/main/docs/security/dragonfly-comprehensive-report-2023.pdf

CVE-2025-59354В Dragonfly, открытом проекте по распределению файлов и ускорению изображений на основе P2P, обнаружена уязвимость, связанная с использованием различных хэш-функций, включая MD5, для загружаемых файлов. Это позволяет атакующему заменить файлы на вредоносные с совпадающим хэшем [1]. Рекомендуется обновить Dragonfly до версии 2.1.0 или выше. Источники: - [1] https://github.com/dragonflyoss/dragonfly/security/advisories/GHSA-hx2h-vjw2-8r54 - [2] https://github.com/dragonflyoss/dragonfly/blob/main/docs/security/dragonfly-comprehensive-report-2023.pdf

CVE-2025-59348Dragonfly - это открытая система распространения файлов и ускорения образов на основе P2P. До версии 2.1.0 метод processPieceFromSource не обновлял поле usedTraffic структуры, поскольку неинициализированная переменная n использовалась в качестве защиты для вызова метода AddTraffic вместо переменной result.Size. Задача обрабатывается пиром. Метаданные usedTraffic не обновляются во время обработки. Неправильно применяется ограничение скорости, что приводит к отказу в обслуживании для пира. Эта уязвимость исправлена в версии 2.1.0 [1]. Источники: - [1] https://github.com/dragonflyoss/dragonfly/security/advisories/GHSA-2qgr-gfvj-qpcr - [2] https://github.com/dragonflyoss/dragonfly/blob/main/docs/security/dragonfly-comprehensive-report-2023.pdf

CVE-2025-59346В системе Dragonfly обнаружена уязвимость Server-side Request Forgery (SSRF). Злоумышленник может воспользоваться этой уязвимостью для принудительного выполнения запросов к внутренним службам. Рекомендуется обновить систему до версии 2.1.0 или выше [1]. Источники: - [1] https://github.com/dragonflyoss/dragonfly/security/advisories/GHSA-g2rq-jv54-wcpr

CVE-2025-59351Dragonfly - это открытая система распределения файлов и ускорения изображений на основе P2P. До версии 2.1.0 первое возвращаемое значение функции разыменовывается, даже если функция возвращает ошибку, что может привести к разыменованию null и вызвать панику [1]. Источники: - [1] https://github.com/dragonflyoss/dragonfly/security/advisories/GHSA-4mhv-8rh3-4ghw - [2] https://github.com/dragonflyoss/dragonfly/blob/main/docs/security/dragonfly-comprehensive-report-2023.pdf

CVE-2025-59350Dragonfly — это открытая система распределения файлов и ускорения образов на основе P2P. До версии 2.1.0 механизм управления доступом для функции Proxy использует простые сравнения строк и поэтому уязвим для атак по времени. Злоумышленник может попытаться угадать пароль по одному символу за раз, отправляя все возможные символы в уязвимый механизм и измеряя время выполнения инструкции сравнения. Эта уязвимость исправлена в версии 2.1.0 [1]. Источники: - [1] https://github.com/dragonflyoss/dragonfly/security/advisories/GHSA-c2fc-9q9c-5486 - [2] https://github.com/dragonflyoss/dragonfly/blob/main/docs/security/dragonfly-comprehensive-report-2023.pdf

CVE-2025-59347Dragonfly - это открытая система распределения файлов и ускорения изображений на основе P2P. До версии 2.1.0 Менеджер отключает проверку сертификата TLS в HTTP-клиентах. Клиенты не настраиваются, поэтому у пользователей нет возможности повторно включить проверку. Менеджер обрабатывает десятки заданий предварительного нагрева. Злоумышленник выполняет атаку Man-in-the-Middle на сетевом уровне, предоставляя неверные данные Менеджеру. Менеджер предварительно нагревается с неверными данными, что позже приводит к отказу в обслуживании и проблемам с целостностью файлов [1]. Эта уязвимость устранена в версии 2.1.0. Источники: - [1] https://github.com/dragonflyoss/dragonfly/security/advisories/GHSA-98x5-jw98-6c97

CVE-2025-59349В Dragonfly, открытом проекте по распределению файлов и ускорению изображений на основе P2P, обнаружена уязвимость, связанная с созданием директорий с недостаточными правами доступа. Локальный атакующий может создать директорию с широкими правами доступа до того, как это сделает DragonFly2, что потенциально позволяет атакующему изменять файлы [1]. Рекомендуется обновить Dragonfly до версии 2.1.0 или выше. Источники: - [1] https://github.com/dragonflyoss/dragonfly/security/advisories/GHSA-8425-8r2f-mrv6 - [2] https://github.com/dragonflyoss/dragonfly/blob/main/docs/security/dragonfly-comprehensive-report-2023.pdf

Перейти к вендору →Открыть в каталоге с фильтром по продукту →