Jre
Уязвимости
848
Эксплуатируемые
7
Макс. CVSS
10
Макс. EPSS
0.98704
Распределение по критичности
Критический
53
Высокий
173
Средний
497
Низкий
123
Затронутые диапазоны версий
1.3.0–1.3.1_161.4–1.4.2_201.5–1.5.0_181.5–1.5.0_201.5–1.5.0_221.6.0_10–1.6.0_131.6–1.6.0_131.6–1.6.0_151.6–1.6.0_291.7–1.7.0_112–17.0.312–17.0.412–17.0.512–17.0.812–17.0.917–17.0.1018–21.0.718–21.0.922–23.0.122–24.0.222–25.0.29–10.0.19–10.0.29–11.0.1
Также сопоставлено как (исходные строки): jre,jdk,java_jre-jdk,virtual_machine,jrockit,openjdk,j2se,sdk,bea_product_suite,java_se,mac_os_runtime_for_java,windows
Топ уязвимостей
CVE-2012-3202Множественные неуказанные уязвимости в компоненте Oracle JRockit в Oracle Fusion Middleware 28.2.4 и более ранних версиях, а также 27.7.3 и более ранних версиях, при использовании JDK/JRE 5 или 6, позволяют удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы. ПРИМЕЧАНИЕ: это пересекается с CVE-2012-5083, CVE-2012-1531, CVE-2012-5081 и CVE-2012-5085.
CVE-2010-0079Множественные уязвимости в компоненте JRockit в BEA Product Suite R27.6.5, использующем JRE/JDK 1.4.2, 5 и 6, позволяют удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы. ПРИМЕЧАНИЕ: этот идентификатор CVE перекрывается с CVE-2009-3867, CVE-2009-3868, CVE-2009-3869, CVE-2009-3871, CVE-2009-3872, CVE-2009-3873, CVE-2009-3874, CVE-2009-3875, CVE-2009-3876 и CVE-2009-3877.
CVE-2009-1006Неуказанная уязвимость в компоненте JRockit в BEA Product Suite R27.6.2 и более ранних версиях, с SDK/JRE 1.4.2, JRE/JDK 5 и JRE/JDK 6, позволяет удаленным злоумышленникам воздействовать на конфиденциальность, целостность и доступность через неизвестные векторы.
CVE-2008-5355Функция "Java Update" для Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий не проверяет подпись загруженного JRE, что позволяет удаленным злоумышленникам выполнять произвольный код через атаки типа "человек посередине" с использованием DNS.
CVE-2008-5353Java Runtime Environment (JRE) для Sun JDK и JRE 6 Update 10 и более ранних версий; JDK и JRE 5.0 Update 16 и более ранних версий; и SDK и JRE 1.4.2_18 и более ранних версий неправильно применяет контекст объектов ZoneInfo во время десериализации, что позволяет удаленным злоумышленникам запускать ненадежные апплеты и приложения в привилегированном контексте, как показано на примере "десериализации объектов Calendar".
CVE-2008-5340Неуказанная уязвимость в Java Web Start (JWS) и Java Plug-in с Sun JDK и JRE 6 Update 10 и более ранних версиях; JDK и JRE 5.0 Update 16 и более ранних версиях; и SDK и JRE 1.4.2_18 и более ранних версиях позволяет ненадежным приложениям JWS получать привилегии для доступа к локальным файлам или приложениям через неизвестные векторы, также известная как 6727081.
CVE-2008-3113Неуказанная уязвимость в Sun Java Web Start в JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет удаленным злоумышленникам создавать или удалять произвольные файлы через ненадежное приложение, также известное как CR 6704077.
CVE-2008-3112Уязвимость обхода каталогов в Sun Java Web Start в JDK и JRE 6 до Update 7, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет удаленным злоумышленникам создавать произвольные файлы через метод writeManifest в классе CacheEntry, также известный как CR 6703909.
CVE-2008-3111Множественные переполнения буфера в Sun Java Web Start в JDK и JRE 6 до Update 4, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяют зависящим от контекста злоумышленникам получать привилегии через ненадежное приложение, как продемонстрировано (a) приложением, которое предоставляет себе привилегии для (1) чтения локальных файлов, (2) записи в локальные файлы или (3) выполнения локальных программ; и как продемонстрировано (b) длинным значением, связанным с атрибутом java-vm-args в теге j2se в файле JNLP, который вызывает переполнение буфера на основе стека в функции GetVMArgsOption; также известное как CR 6557220.
CVE-2008-3108Переполнение буфера в Sun Java Runtime Environment (JRE) в JDK и JRE 5.0 до Update 10, SDK и JRE 1.4.x до 1.4.2_18 и SDK и JRE 1.3.x до 1.3.1_23 позволяет зависящим от контекста злоумышленникам получать привилегии через неуказанные векторы, связанные с обработкой шрифтов.
CVE-2008-3107Неуказанная уязвимость в виртуальной машине в Sun Java Runtime Environment (JRE) в JDK и JRE 6 до Update 7, JDK и JRE 5.0 до Update 16 и SDK и JRE 1.4.x до 1.4.2_18 позволяет зависящим от контекста злоумышленникам получать привилегии через ненадежное (1) приложение или (2) апплет, как продемонстрировано приложением или апплетом, который предоставляет себе привилегии для (a) чтения локальных файлов, (b) записи в локальные файлы или (c) выполнения локальных программ.
CVE-2008-0657Множественные неуказанные уязвимости в Java Runtime Environment в Sun JDK и JRE 6 Update 1 и более ранних версиях, а также 5.0 Update 13 и более ранних версиях позволяют зависящим от контекста злоумышленникам получать привилегии через ненадежное (1) приложение или (2) апплет, как продемонстрировано приложением или апплетом, который предоставляет себе привилегии для (a) чтения локальных файлов, (b) записи в локальные файлы или (c) выполнения локальных программ.
CVE-2007-5689Виртуальная машина Java (JVM) в Sun Java Runtime Environment (JRE) в SDK и JRE 1.3.x до 1.3.1_20 и 1.4.x до 1.4.2_15, и JDK и JRE 5.x до 5.0 Update 12 и 6.x до 6 Update 2 позволяет удаленным злоумышленникам выполнять произвольные программы или читать или изменять произвольные файлы через апплеты, которые предоставляют привилегии самим себе.
CVE-2007-5019Переполнение буфера в элементе управления Sun Java Web Start ActiveX в Java Runtime Environment (JRE) 1.6.0_X позволяет удаленным злоумышленникам оказывать неизвестное воздействие через длинный аргумент в методе dnsResolve (isInstalled.dnsResolve).
CVE-2007-2435Sun Java Web Start в JDK и JRE 5.0 Update 10 и более ранних версиях, а также Java Web Start в SDK и JRE 1.4.2_13 и более ранних версиях позволяет удаленным злоумышленникам выполнять несанкционированные действия через приложение, которое предоставляет привилегии самому себе, что связано с «Неправильным использованием системных классов» и, вероятно, связано с поддержкой файлов JNLP.
CVE-2004-2764Sun SDK и Java Runtime Environment (JRE) 1.4.2-1.4.2_04, 1.4.1-1.4.1_07 и 1.4.0-1.4.0_04 позволяют ненадежным апплетам и непривилегированным сервлетам получать привилегии и считывать данные из других апплетов через неопределенные векторы, связанные с классами в XSLT-процессоре, также известном как "XML sniffing".
CVE-2024-56171libxml2 до версии 2.12.10 и 2.13.x до версии 2.13.6 имеет уязвимость использования после освобождения памяти в xmlSchemaIDCFillNodeTables и xmlSchemaBubbleIDCNodeTables в xmlschemas.c. Для эксплуатации этой уязвимости необходимо, чтобы специально созданный XML-документ был проверен по XML-схеме с определенными ограничениями идентичности, или должна использоваться специально созданная XML-схема.
CVE-2024-54534Проблема была решена путем улучшения обработки памяти. Эта проблема устранена в watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 и iPadOS 18.2. Обработка вредоносно созданного веб-контента может привести к повреждению памяти.
CVE-2023-41993Проблема была решена с помощью улучшенных проверок. Эта проблема исправлена в macOS Sonoma 14. Обработка веб-контента может привести к выполнению произвольного кода. Apple осведомлена о сообщении о том, что эта проблема могла быть активно эксплуатирована против версий iOS до iOS 16.7.
CVE-2016-9843Функция crc32_big в crc32.c в zlib 1.2.8 может позволить зависимым от контекста злоумышленникам оказать неуказанное воздействие через векторы, включающие вычисление CRC с прямым порядком байтов.
CVE-2016-9841inffast.c в zlib 1.2.8 может позволить зависимым от контекста злоумышленникам оказать неуказанное воздействие, используя неправильную арифметику указателей.
CVE-2016-3427Неуказанная уязвимость в Oracle Java SE 6u113, 7u99 и 8u77; Java SE Embedded 8u77; и JRockit R28.3.9 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через векторы, связанные с JMX.
CVE-2013-2465Неопределенная уязвимость в компоненте Java Runtime Environment (JRE) в Oracle Java SE 7 Update 21 и более ранних версиях, 6 Update 45 и более ранних версиях, и 5.0 Update 45 и более ранних версиях, а также OpenJDK 7, позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с 2D. ПРИМЕЧАНИЕ: предыдущая информация получена из CPU за июнь 2013 года. Oracle не прокомментировала заявления другого поставщика о том, что эта проблема позволяет удаленным злоумышленникам обойти песочницу Java через векторы, связанные с "Неправильной проверкой канала изображения" в 2D.
CVE-2012-1723Неопределённая уязвимость в компоненте Java Runtime Environment (JRE) в Oracle Java SE 7 обновление 4 и более ранние, 6 обновление 32 и более ранние, 5 обновление 35 и более ранние и 1.4.2_37 и более ранние позволяют удалённым злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с Hotspot.
CVE-2012-0507Неопределённая уязвимость в компоненте Java Runtime Environment (JRE) в Oracle Java SE 7 Update 2 и более ранние, 6 Update 30 и более ранние, и 5.0 Update 33 и более ранние позволяют удалённым злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с конкуренцией. ЗАМЕТКА: предыдущая информация была получена из CPU Oracle в феврале 2012 года. Oracle не комментировала утверждения от подрядчика и сторонних исследователей о том, что эта проблема возникает из-за того, что реализация класса AtomicReferenceArray не гарантирует, что массив является типом Object[], что позволяет злоумышленникам вызывать отказ в обслуживании (сбой JVM) или обходить ограничения песочницы Java. ЗАМЕТКА: эта проблема первоначально была сопоставлена с CVE-2011-3571, но этот идентификатор уже был назначен другой проблеме.