Jaeger
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.99019
Распределение по критичности
Критический
1
Высокий
2
Средний
4
Низкий
0
Также сопоставлено как (исходные строки): jaeger
Топ уязвимостей
CVE-2019-10744Версии lodash ниже 4.17.12 уязвимы для Prototype Pollution. Функцию defaultsDeep можно обманом заставить добавлять или изменять свойства Object.prototype с помощью полезной нагрузки конструктора.
CVE-2019-11253Неправильная проверка ввода в API-сервере Kubernetes в версиях v1.0-1.12 и версиях до v1.13.12, v1.14.8, v1.15.5 и v1.16.2 позволяет авторизованным пользователям отправлять вредоносные полезные нагрузки YAML или JSON, заставляя API-сервер потреблять чрезмерное количество ЦП или памяти, что может привести к сбою и недоступности. До v1.14.0 политика RBAC по умолчанию разрешала анонимным пользователям отправлять запросы, которые могли вызвать эту уязвимость. Кластеры, обновленные с версии до v1.14.0, сохраняют более разрешительную политику по умолчанию для обратной совместимости.
CVE-2020-1762В Kiali версий с 0.4.0 по 1.15.0 была обнаружена уязвимость недостаточной проверки JWT, которая была исправлена в Kiali версии 1.15.1. Удаленный злоумышленник может воспользоваться этой уязвимостью, украв действующий cookie JWT и используя его для подделки пользовательского сеанса, возможно, получив привилегии для просмотра и изменения конфигурации Istio.
CVE-2020-12459В определенных пакетах Red Hat для Grafana 6.x до версии 6.3.6 файлы конфигурации /etc/grafana/grafana.ini и /etc/grafana/ldap.toml (которые содержат secret_key и bind_password) доступны для чтения всем пользователям.
CVE-2020-11022В версиях jQuery, начиная с 1.2 и до 3.5.0, передача HTML из ненадежных источников, даже после его очистки, в один из методов манипулирования DOM jQuery (т. е. .html(), .append() и другие) может привести к выполнению ненадежного кода. Эта проблема устранена в jQuery 3.5.0.
CVE-2020-7598minimist до версии 1.2.2 можно обманом заставить добавлять или изменять свойства Object.prototype, используя полезную нагрузку «constructor» или «__proto__».
CVE-2020-8124Недостаточная проверка и очистка пользовательского ввода существует в npm-пакете url-parse версии 1.4.4 и более ранних версиях, что может позволить злоумышленнику обойти проверки безопасности.