Data Grid
Уязвимости
39
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.83274
Распределение по критичности
Критический
10
Высокий
16
Средний
9
Низкий
4
Затронутые диапазоны версий
< 8.4.4< 8.4.6
Также сопоставлено как (исходные строки): data grid,jboss_enterprise_application_platform_expansion_pack,process_automation,single_sign-on,undertow,build_of_apache_camel_-_hawtio,build_of_apache_camel_for_spring_boot,openshift_application_runtimes,data_grid,fuse,jboss_enterprise_application_platform,descision_manager
Топ уязвимостей
BDU:2021-05969Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2 связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2021-31917Обнаружена ошибка в Red Hat DataGrid 8.x (8.0.0, 8.0.1, 8.1.0 и 8.1.1) и Infinispan (с 10.0.0 по 12.0.0). Злоумышленник может обойти аутентификацию на всех REST endpoints, когда DIGEST используется в качестве метода аутентификации. Наибольшая угроза от этой уязвимости — конфиденциальность и целостность данных, а также доступность системы.
CVE-2015-7501Red Hat JBoss A-MQ 6.x; BPM Suite (BPMS) 6.x; BRMS 6.x и 5.x; Data Grid (JDG) 6.x; Data Virtualization (JDV) 6.x и 5.x; Enterprise Application Platform 6.x, 5.x и 4.3.x; Fuse 6.x; Fuse Service Works (FSW) 6.x; Operations Network (JBoss ON) 3.x; Portal 6.x; SOA Platform (SOA-P) 5.x; Web Server (JWS) 3.x; Red Hat OpenShift/xPAAS 3.x; и Red Hat Subscription Asset Manager 1.3 позволяют удаленным злоумышленникам выполнять произвольные команды через специально созданный сериализованный объект Java, связанный с библиотекой Apache Commons Collections (ACC).
BDU:2019-03107Уязвимость компонента org.slf4j.ext.EventData модуля slf4j-ext библиотеки SLF4J связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, обойти существующие ограничения безопасности
BDU:2017-02651Уязвимость библиотеки Apache Commons Collections (ACC) связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды при помощи специально сформированного сериализованного Java-объекта
CVE-2025-12543Недостаток был обнаружен в ядре сервера Undertow, которое используется в приложениях WildFly, JBoss EAP и других Java. Библиотека Undertow не может должным образом проверить заголовок хоста во входящих HTTP-запросах.В результате запросы, содержащие уродливые или вредоносные заголовки хоста, обрабатываются без отказа, что позволяет злоумышленникам отравлять кэши, выполнять внутренние сетевые сканирования или захватить сеансы пользователя.
CVE-2026-28369В Undertow был обнаружен недостаток. Когда Undertow получает запрос HTTP, где первая линия заголовка начинается с одного или более пробелов, она неправильно обрабатывает запрос, зачистив эти ведущие пространства. Такое поведение, которое нарушает стандарты HTTP, может быть использовано удаленным злоумышленником для выполнения контрабанды запросов. Запрос контрабанды позволяет злоумышленнику обходить механизмы безопасности, получать доступ к ограниченной информации или манипулировать веб-кэшами, что может привести к несанкционированным действиям или воздействию данных.
CVE-2026-28368В Undertow был обнаружен недостаток. Эта уязвимость позволяет удаленному злоумышленнику создавать специально созданные запросы, где имена заголовков разобраны Undertow по-разному по сравнению с прокси выше по течению. Это несоответствие в интерпретации заголовков может быть использовано для запуска атак на контрабанду запросов, потенциально обходя средства контроля безопасности и доступ к несанкционированным ресурсам.
CVE-2026-28367В Undertow был обнаружен недостаток. Удаленный злоумышленник может использовать эту уязвимость, отправив `\r\r\r` в качестве терминатора блока заголовка. Это может быть использовано для контрабанды запросов с определенными прокси-серверами, такими как более старые версии Apache Traffic Server и Google Cloud Classic Application Load Balancer, что потенциально может привести к несанкционированному доступу или манипулированию веб-запросами.
BDU:2021-06204Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2 связана с ошибками при десериализации данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2025-06231Уязвимость класса PropertyUtilsBean утилиты Apache Commons Beanutils связана с недостатками разграичения доступа к загрузчику классов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2022-00708Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2022-06488Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation связана с ошибками десериализации и возможностью внедрения кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с root-привилегиями
CVE-2025-23368Была обнаружена ошибка в интеграции Wildfly Elytron. Компонент не реализует достаточные меры для предотвращения нескольких неудачных попыток аутентификации в короткий промежуток времени, что делает его более уязвимым к атакам методом подбора через CLI.
CVE-2026-3260В Undertow был обнаружен недостаток. Удаленный злоумышленник может использовать эту уязвимость, отправив запрос HTTP GET, содержащий многочастный/форм-данные. Если базовое приложение обрабатывает параметры, используя такие методы, как `getParameterMap()`, сервер преждевременно анализирует и сохраняет этот контент на диске. Это может привести к истощению ресурсов, что может привести к отказу в обслуживании (DoS).
CVE-2024-7885В Undertow обнаружена уязвимость, при которой ProxyProtocolReadListener повторно использует один и тот же экземпляр StringBuilder для нескольких запросов. Эта проблема возникает, когда метод parseProxyProtocolV1 обрабатывает несколько запросов по одному и тому же HTTP-соединению. В результате разные запросы могут совместно использовать один и тот же экземпляр StringBuilder, что может привести к утечке информации между запросами или ответами. В некоторых случаях значение из предыдущего запроса или ответа может быть ошибочно использовано повторно, что может привести к непреднамеренному раскрытию данных. Эта проблема в основном приводит к ошибкам и завершению соединения, но создает риск утечки данных в средах с несколькими запросами.
CVE-2020-25644Обнаружена утечка памяти в WildFly OpenSSL в версиях до 1.1.3.Final, когда он удаляет сеанс HTTP. Это может позволить злоумышленнику вызвать OOM, что приведет к отказу в обслуживании. Наибольшая угроза от этой уязвимости заключается в доступности системы.
BDU:2026-07268Уязвимость библиотеки minimatch программной платформы Node.js связана с алгоритмической сложностью. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2023-07207Уязвимость компонентов Chainsaw и SocketAppender программы для журналирования Java-программ Log4j связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2022-05508Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат Xstream связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
BDU:2021-06325Уязвимость библиотеки журналирования Java-программ Log4j существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально сформированного рекурсивного запроса
BDU:2021-03903Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат Xstream связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
CVE-2023-4586В клиенте Hot Rod обнаружена уязвимость. Эта проблема безопасности возникает из-за того, что клиент Hot Rod не включает проверку имени хоста при использовании TLS, что может привести к атаке "человек посередине" (MITM).
BDU:2023-07355Уязвимость сетевого программного средства Netty связана с ошибками при проверке сертификата TLS. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить атаку типа "человек посередине"
CVE-2023-5384Обнаружена уязвимость в Infinispan. При сериализации конфигурации для кэша в XML/JSON/YAML, который содержит учетные данные (хранилище JDBC с пулом подключений, удаленное хранилище), учетные данные возвращаются в виде открытого текста как часть конфигурации.