Eap8-apache-commons-codec
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
7.7
Макс. EPSS
0.17342
Распределение по критичности
Критический
0
Высокий
4
Средний
6
Низкий
1
Также сопоставлено как (исходные строки): eap8-apache-commons-codec
Топ уязвимостей
CVE-2024-8698Существует недостаток в методе проверки подписи SAML в классе Keycloak XMLSignatureUtil. Метод неправильно определяет, относится ли подпись SAML ко всему документу или только к определенным утверждениям, основываясь на положении подписи в XML-документе, а не на элементе Reference, используемом для указания подписанного элемента. Этот недостаток позволяет злоумышленникам создавать специально разработанные ответы, которые могут обойти проверку, что потенциально может привести к повышению привилегий или атакам с выдачей себя за другое лицо.
CVE-2024-30172Проблема была обнаружена в Bouncy Castle Java Cryptography API до версии 1.78. Бесконечный цикл кода проверки Ed25519 может произойти через поддельную подпись и открытый ключ.
CVE-2023-52428В Connect2id Nimbus JOSE+JWT до версии 9.37.2 злоумышленник может вызвать отказ в обслуживании (потребление ресурсов) через большое значение заголовка JWE p2c (также известное как количество итераций) для компонента PasswordBasedDecrypter (PBKDF2).
CVE-2022-34169Библиотека Apache Xalan Java XSLT уязвима из-за проблемы сокращения целых чисел при обработке вредоносных стилей XSLT. Это может быть использовано для повреждения файлов классов Java, создаваемых внутренним компилятором XSLTC, и выполнения произвольного байт-кода Java. Пользователям рекомендуется обновиться до версии 2.7.3 или более поздней. Примечание: среды выполнения Java (такие как OpenJDK) включают повторно упакованные копии Xalan.
CVE-2023-4503В Galleon обнаружена уязвимость неправильной инициализации. При использовании Galleon для подготовки пользовательских серверов EAP или EAP-XP серверы создаются незащищенными. Эта проблема может позволить злоумышленнику получить доступ к удаленным HTTP-сервисам, доступным с сервера.
CVE-2024-29857Проблема была обнаружена в ECCurve.java и ECCurve.cs в Bouncy Castle Java (BC Java) до 1.78, BC Java LTS до 2.73.6, BC-FJA до 1.0.2.5 и BC C# .Net до 2.3.1. Импортирование EC-сертификата с поддельными параметрами F2m может привести к чрезмерному потреблению ЦП во время оценки параметров кривой.
CVE-2024-8883В Keycloak была обнаружена ошибка конфигурации. Эта проблема может позволить злоумышленнику перенаправлять пользователей на произвольный URL-адрес, если для параметра 'Valid Redirect URI' установлено значение http://localhost или http://127.0.0.1, что позволит раскрыть конфиденциальную информацию, такую как коды авторизации, злоумышленнику, что потенциально может привести к перехвату сеанса.
CVE-2024-30171Проблема была обнаружена в Bouncy Castle Java TLS API и JSSE Provider до версии 1.78. Утечка на основе времени может произойти в RSA-рукопожатиях из-за обработки исключений.
CVE-2024-29025Netty - это асинхронный, ориентированный на события сетевой прикладной фреймворк для быстрой разработки поддерживаемых высокопроизводительных серверов и клиентов протоколов. `HttpPostRequestDecoder` может быть обманут для накопления данных. Хотя декодер может сохранять элементы на диске, если он настроен соответствующим образом, количество полей, которое может иметь форма, не ограничено, злоумышленник может отправить фрагментированный пост, состоящий из множества мелких полей, которые будут накапливаться в списке `bodyListHttpData`. Декодер накапливает байты в `undecodedChunk` до тех пор, пока не сможет декодировать поле, это поле может накапливать данные без ограничений. Эта уязвимость исправлена в версии 4.1.108.Final.
CVE-2024-4029Уязвимость была обнаружена в интерфейсе управления Wildfly. Из-за отсутствия ограничения сокетов для интерфейса управления может быть вызван отказ в обслуживании, достигающий предела nofile, поскольку нет возможности настроить или установить максимальное количество подключений.
CVE-2024-41172В версиях Apache CXF до 3.6.4 и 4.0.5 (версии 3.5.x и более ранние не затронуты) HTTP-канал клиента CXF может препятствовать сбору мусора экземпляров HTTPClient, и возможно, что потребление памяти будет продолжать увеличиваться, что в конечном итоге приведет к нехватке памяти в приложении.