Jfreechart
Уязвимости
61
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.90768
Распределение по критичности
Критический
4
Высокий
7
Средний
40
Низкий
10
Также сопоставлено как (исходные строки): jfreechart
Топ уязвимостей
CVE-2007-2435Sun Java Web Start в JDK и JRE 5.0 Update 10 и более ранних версиях, а также Java Web Start в SDK и JRE 1.4.2_13 и более ранних версиях позволяет удаленным злоумышленникам выполнять несанкционированные действия через приложение, которое предоставляет привилегии самому себе, что связано с «Неправильным использованием системных классов» и, вероятно, связано с поддержкой файлов JNLP.
CVE-2004-0914Множественные уязвимости в libXpm для 6.8.1 и более ранних версий, используемые в XFree86 и других пакетах, включают (1) множественные целочисленные переполнения, (2) выходы за границы памяти, (3) обход каталогов, (4) метасимволы оболочки, (5) бесконечные циклы и (6) утечки памяти, что может позволить удаленным злоумышленникам получить конфиденциальную информацию, вызвать отказ в обслуживании (сбой приложения) или выполнить произвольный код через определенный файл изображения XPM. ПРИМЕЧАНИЕ: весьма вероятно, что этот кандидат будет РАЗДЕЛЕН на другие кандидаты в будущем, в соответствии с решениями CVE по контенту.
CVE-2007-4575HSQLDB до версии 1.8.0.9, используемая в OpenOffice.org (OOo) 2 до версии 2.3.1, позволяет удаленным злоумышленникам с помощью пользователя выполнять произвольный код Java через специально созданные документы базы данных, связанные с "предоставлением статических методов Java".
CVE-2008-2369manzier.pxt в Red Hat Network Satellite Server до версии 5.1.1 имеет жестко закодированный ключ аутентификации, что позволяет удаленным злоумышленникам подключаться к серверу и получать конфиденциальную информацию об учетных записях пользователей и правах.
CVE-2006-7197Коннектор AJP в Apache Tomcat 5.5.15 использует неправильную длину для чанков, что может вызвать переполнение буфера в ajp_process_callback в mod_jk, что позволяет удаленным злоумышленникам читать части конфиденциальной памяти.
CVE-2007-6433Метод getRenderedEjbql в классе org.jboss.seam.framework.Query в JBoss Seam 2.x до 2.0.0.CR3 позволяет удаленным злоумышленникам внедрять и выполнять произвольные команды EJBQL через параметр order.
CVE-2005-3964Множественные переполнения буфера в libUil (libUil.so) в OpenMotif 2.2.3 и, возможно, в других версиях, позволяют злоумышленникам выполнять произвольный код через (1) функцию diag_issue_diagnostic в UilDiags.c и (2) функцию open_source_file в UilSrcSrc.c.
CVE-2005-0605scan.c для LibXPM может позволить злоумышленникам выполнить произвольный код через отрицательное значение bitmap_unit, которое приводит к переполнению буфера.
CVE-2004-0885Модуль mod_ssl в Apache 2.0.35 до 2.0.52, при использовании директивы "SSLCipherSuite" в контексте каталога или местоположения, позволяет удаленным клиентам обходить предполагаемые ограничения, используя любой набор шифров, разрешенный конфигурацией виртуального хоста.
CVE-2004-0688Множественные целочисленные переполнения в (1) функции xpmParseColors в parse.c, (2) XpmCreateImageFromXpmImage, (3) CreateXImage, (4) ParsePixels и (5) ParseAndPutPixels для libXpm до версии 6.8.1 могут позволить удаленным злоумышленникам выполнить произвольный код через поврежденный файл изображения XPM.
CVE-2004-0687Множественные переполнения буфера на основе стека в (1) xpmParseColors в parse.c, (2) ParseAndPutPixels в create.c и (3) ParsePixels в parse.c для libXpm до версии 6.8.1 позволяют удаленным злоумышленникам выполнять произвольный код через поврежденный файл изображения XPM.
CVE-2011-2196jboss-seam.jar в JBoss Seam 2 framework 2.2.x и более ранних версий, как распространяется в Red Hat JBoss Enterprise SOA Platform 4.3.0.CP05 и 5.1.0; JBoss Enterprise Application Platform (aka JBoss EAP или JBEAP) 4.3.0, 4.3.0.CP09 и 5.1.1; и JBoss Enterprise Web Platform 5.1.1, неправильно ограничивает использование операторов Expression Language (EL) в FacesMessages во время обработки исключений страницы, что позволяет удаленным злоумышленникам выполнять произвольный Java-код через специально созданный URL-адрес для приложения. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2011-1484.
CVE-2007-2788Переполнение целого числа во встроенном анализаторе изображений профиля ICC в Sun Java Development Kit (JDK) до 1.5.0_11-b03 и 1.6.x до 1.6.0_01-b06, а также Sun Java Runtime Environment в JDK и JRE 6, JDK и JRE 5.0 Update 10 и более ранних версиях, SDK и JRE 1.4.2_14 и более ранних версиях, а также SDK и JRE 1.3.1_20 и более ранних версиях, позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (сбой JVM) через специально созданный файл JPEG или BMP, который вызывает переполнение буфера.
CVE-2007-0243Переполнение буфера в Sun JDK и Java Runtime Environment (JRE) 5.0 Update 9 и более ранних версиях, SDK и JRE 1.4.2_12 и более ранних версиях, а также SDK и JRE 1.3.1_18 и более ранних версиях позволяет апплетам получать привилегии через GIF-изображение с блоком с полем ширины 0, что вызывает повреждение памяти.
CVE-2007-4465Уязвимость межсайтового скриптинга (XSS) в mod_autoindex.c в Apache HTTP Server до 2.2.6, когда charset на странице, сгенерированной сервером, не определен, позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр P с использованием кодировки UTF-7. ПРИМЕЧАНИЕ: можно утверждать, что эта проблема связана с ограничением конструкции браузеров, которые пытаются выполнить автоматическое определение типа контента.
CVE-2008-0002Apache Tomcat 6.0.0 - 6.0.15 обрабатывает параметры в контексте неправильного запроса, когда во время обработки параметров возникает исключение, что может позволить удаленным злоумышленникам получить конфиденциальную информацию, как продемонстрировано отключением во время этой обработки, чтобы вызвать исключение.
CVE-2010-1623Утечка памяти в функции apr_brigade_split_line в buckets/apr_brigade.c в библиотеке Apache Portable Runtime Utility (она же APR-util) до версии 1.3.10, используемой в модуле mod_reqtimeout в Apache HTTP Server и другом программном обеспечении, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление памяти) через неуказанные векторы, связанные с уничтожением APR-корзины.
CVE-2009-2625XMLScanner.java в Apache Xerces2 Java, используемый в Sun Java Runtime Environment (JRE) в JDK и JRE 6 до Update 15 и JDK и JRE 5.0 до Update 20, а также в других продуктах, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (бесконечный цикл и зависание приложения) через некорректный XML-ввод, как продемонстрировано фреймворком фаззинга Codenomicon XML.
CVE-2009-0217Конструкция рекомендации W3C XML Signature Syntax and Processing (XMLDsig), реализованная в продуктах, включая (1) компонент Oracle Security Developer Tools в Oracle Application Server 10.1.2.3, 10.1.3.4 и 10.1.4.3IM; (2) компонент WebLogic Server в BEA Product Suite 10.3, 10.0 MP1, 9.2 MP3, 9.1, 9.0 и 8.1 SP6; (3) Mono до 2.4.2.2; (4) XML Security Library до 1.2.12; (5) IBM WebSphere Application Server Versions 6.0 до 6.0.2.33, 6.1 до 6.1.0.23 и 7.0 до 7.0.0.1; (6) Sun JDK и JRE Update 14 и более ранние версии; (7) Microsoft .NET Framework 3.0 до 3.0 SP2, 3.5 и 4.0; и другие продукты, использует параметр, определяющий длину усечения HMAC (HMACOutputLength), но не требует минимума для этой длины, что позволяет злоумышленникам подделывать подписи на основе HMAC и обходить аутентификацию, указывая длину усечения с небольшим количеством битов.
CVE-2008-3273JBoss Enterprise Application Platform (aka JBossEAP или EAP) до 4.2.0.CP03 и 4.3.0 до 4.3.0.CP01 позволяет удаленным злоумышленникам получать конфиденциальную информацию о "развернутых веб-контекстах" через запрос к сервлету состояния, как продемонстрировано строкой запроса full=true.
CVE-2008-0128SingleSignOn Valve (org.apache.catalina.authenticator.SingleSignOn) в Apache Tomcat до 5.5.21 не устанавливает флаг secure для cookie JSESSIONIDSSO в сессии https, что может привести к отправке cookie в запросах http и облегчить удаленным злоумышленникам перехват этого cookie.
CVE-2007-1860mod_jk в Apache Tomcat JK Web Server Connector 1.2.x до 1.2.23 декодирует URL-адреса запросов в Apache HTTP Server перед передачей URL-адреса в Tomcat, что позволяет удаленным злоумышленникам получать доступ к защищенным страницам через специально созданный префикс JkMount, возможно, включающий двойное кодирование .. (dot dot) последовательностей и directory traversal, что является проблемой, связанной с CVE-2007-0450.
CVE-2007-1349PerlRun.pm в Apache mod_perl до 1.30 и RegistryCooker.pm в mod_perl 2.x неправильно экранирует PATH_INFO перед использованием в регулярном выражении, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ресурсов) через специально созданный URI.
CVE-2007-0450Уязвимость обхода каталогов в Apache HTTP Server и Tomcat 5.x до 5.5.22 и 6.x до 6.0.10, при использовании определенных прокси-модулей (mod_proxy, mod_rewrite, mod_jk), позволяет удаленным злоумышленникам читать произвольные файлы через последовательность .. (dot dot) с комбинациями (1) "/" (косая черта), (2) "\" (обратная косая черта) и (3) URL-закодированных символов обратной косой черты (%5C) в URL, которые являются допустимыми разделителями в Tomcat, но не в Apache.
CVE-2006-3835Apache Tomcat 5 до версии 5.5.17 позволяет удаленным злоумышленникам перечислять каталоги через точку с запятой (;) перед именем файла с сопоставленным расширением, как показано в URL-адресах, заканчивающихся на /;index.jsp и /;help.do.