Eap7-hibernate-validator
Уязвимости
65
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.8904
Распределение по критичности
Критический
1
Высокий
37
Средний
25
Низкий
2
Также сопоставлено как (исходные строки): eap7-hibernate-validator
Топ уязвимостей
CVE-2021-44906Minimist <=1.2.5 уязвим для загрязнения прототипа через файл index.js, функцию setKey() (строки 69-95).
CVE-2020-9548FasterXML jackson-databind 2.x до 2.9.10.4 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанное с br.com.anteros.dbcp.AnterosDBCPConfig (aka anteros-core).
CVE-2020-9547FasterXML jackson-databind 2.x до 2.9.10.4 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанное с com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (aka ibatis-sqlmap).
CVE-2020-9546FasterXML jackson-databind 2.x до 2.9.10.4 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанное с org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (aka shaded hikari-config).
CVE-2020-8840FasterXML jackson-databind 2.0.0–2.9.10.2 не имеет определенной блокировки xbean-reflect/JNDI, как продемонстрировано org.apache.xbean.propertyeditor.JndiConverter.
CVE-2020-10673FasterXML jackson-databind 2.x до 2.9.10.4 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанное с com.caucho.config.types.ResourceRef (aka caucho-quercus).
CVE-2020-10672FasterXML jackson-databind 2.x до 2.9.10.4 неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией, связанное с org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory (aka aries.transaction.jms).
CVE-2019-17531Обнаружена проблема полиморфной типизации в FasterXML jackson-databind 2.0.0 до 2.9.10. Когда включена типизация по умолчанию (глобально или для определенного свойства) для внешне открытой конечной точки JSON, и в classpath службы есть jar apache-log4j-extra (версии 1.2.x), и злоумышленник может предоставить службу JNDI для доступа, можно заставить службу выполнить вредоносную полезную нагрузку.
CVE-2017-7525В jackson-databind, версиях до 2.6.7.1, 2.7.9.1 и 2.8.9, обнаружена уязвимость десериализации, которая может позволить неаутентифицированному пользователю выполнить код, отправив вредоносный ввод в метод readValue объекта ObjectMapper.
CVE-2017-5645В Apache Log4j 2.x до 2.8.2, при использовании TCP-сокета или UDP-сокета для получения сериализованных событий журнала из другого приложения, можно отправить специально созданную двоичную полезную нагрузку, которая при десериализации может выполнить произвольный код.
CVE-2016-9606JBoss RESTEasy до версии 3.1.2 может быть принудительно проанализирован запрос с YamlProvider, что приведет к демаршализации потенциально ненадежных данных, что может позволить злоумышленнику выполнить произвольный код с разрешениями приложения RESTEasy.
CVE-2017-2595Было обнаружено, что средство просмотра файлов журналов в Red Hat JBoss Enterprise Application 6 и 7 позволяет аутентифицированному пользователю читать произвольные файлы через обход пути.
CVE-2024-4068NPM-пакет `braces`, версии до 3.0.3, не ограничивает количество символов, которые он может обрабатывать, что может привести к исчерпанию памяти. В `lib/parse.js`, если вредоносный пользователь отправляет «несбалансированные скобки» в качестве входных данных, синтаксический анализ войдет в цикл, который заставит программу начать выделять память кучи, не освобождая ее ни в какой момент цикла. В конце концов, достигается предел кучи JavaScript, и программа завершит работу.
CVE-2023-51775Компонент jose4j версии до 0.9.4 для Java позволяет злоумышленникам вызывать отказ в обслуживании (потребление ЦП) из-за большого значения p2c (он же PBES2 Count).
CVE-2022-34169Библиотека Apache Xalan Java XSLT уязвима из-за проблемы сокращения целых чисел при обработке вредоносных стилей XSLT. Это может быть использовано для повреждения файлов классов Java, создаваемых внутренним компилятором XSLTC, и выполнения произвольного байт-кода Java. Пользователям рекомендуется обновиться до версии 2.7.3 или более поздней. Примечание: среды выполнения Java (такие как OpenJDK) включают повторно упакованные копии Xalan.
CVE-2022-25647Пакет com.google.code.gson:gson до версии 2.8.9 уязвим для десериализации ненадежных данных через метод writeReplace() во внутренних классах, что может привести к атакам типа "отказ в обслуживании".
CVE-2020-25649Обнаружена уязвимость в FasterXML Jackson Databind, где не была обеспечена надлежащая защита от расширения сущностей. Эта уязвимость позволяет проводить атаки XML External Entity (XXE). Наибольшая угроза от этой уязвимости заключается в целостности данных.
CVE-2020-25644Обнаружена утечка памяти в WildFly OpenSSL в версиях до 1.1.3.Final, когда он удаляет сеанс HTTP. Это может позволить злоумышленнику вызвать OOM, что приведет к отказу в обслуживании. Наибольшая угроза от этой уязвимости заключается в доступности системы.
CVE-2020-1710Проблема, по-видимому, заключается в том, что JBoss EAP 6.4.21 не анализирует поле field-name в соответствии с RFC7230[1], поскольку возвращает 200 вместо 400.
CVE-2020-1695Во всех версиях resteasy 3.x.x до 3.12.0.Final и во всех версиях resteasy 4.x.x до 4.6.0.Final была обнаружена ошибка, из-за которой неправильная проверка входных данных приводит к возврату недопустимого заголовка, который интегрируется в ответ сервера. Эта ошибка может привести к инъекции, которая приводит к неожиданному поведению при построении HTTP-ответа.
CVE-2020-11612ZlibDecoders в Netty 4.1.x до версии 4.1.46 допускают неограниченное выделение памяти при декодировании байтового потока ZlibEncoded. Злоумышленник может отправить большой байтовый поток ZlibEncoded на сервер Netty, заставляя сервер выделить всю свою свободную память одному декодеру.
CVE-2020-10740Обнаружена уязвимость в Wildfly в версиях до 20.0.0.Final, где возможна удаленная атака десериализации в Enterprise Application Beans(EJB) из-за отсутствия возможностей проверки/фильтрации в wildfly.
CVE-2020-10714Обнаружена уязвимость в WildFly Elytron версии 1.11.3.Final и более ранних. При использовании аутентификации WildFly Elytron FORM с идентификатором сеанса в URL-адресе злоумышленник может выполнить атаку с фиксацией сеанса. Наибольшая угроза от этой уязвимости - конфиденциальность и целостность данных, а также доступность системы.
CVE-2019-17267Проблема с полиморфной типизацией была обнаружена в FasterXML jackson-databind до 2.9.10. Это связано с net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup.
CVE-2019-16943В FasterXML jackson-databind 2.0.0–2.9.10 обнаружена проблема полиморфной типизации. Когда типизация по умолчанию включена (глобально или для определенного свойства) для внешне доступной конечной точки JSON и в classpath службы есть jar-файл p6spy (3.8.6), и злоумышленник может найти конечную точку службы RMI для доступа, можно заставить службу выполнить вредоносную полезную нагрузку. Эта проблема существует из-за неправильной обработки com.p6spy.engine.spy.P6DataSource.