anchore_overrides
Io.micronaut
Уязвимости
4
Эксплуатируемые
0
Критический
0
Высокий
3
Топ уязвимостей
CVE-2026-33013Micronaut Framework - это фреймворк на основе JVM Full stack Java, предназначенный для создания модульных, легко тестируемых приложений JVM. Версии до 4.10.16 и 3.10.5 не правильно обрабатывают порядок индекса убывающего массива во время связывания тела с урленкодированным в JsonBeanPropertyBinder::expandArrayToThreshold, что позволяет удаленным злоумышленникам вызывать DoS (непрерывная петля, исчерпание процессора и OutOfMemoryError) посредством созданных проиндексированных параметров формы (например. Эта проблема была исправлена в версиях 4.10.16 и 3.10.5.
CVE-2026-44241Micronaut Framework - это фреймворк Java на основе JVM, предназначенный для создания модульных, легко тестируемых приложений JVM. С 4.3.0 до 4.10.22 TimeConverterRegisr кэширует экземпляры DateTimeFormatter в неограниченном ConcurrentHashMap<String, DateTimeFormatter>, ключ которого получен из шаблона аннотации @Format, сведенного с локацией из заголовка HTTP Accept-Language. Поскольку Locale.forLanguageTag() принимает произвольные расширения частного использования BCP 47 (en-x-a001, en-x-a002, ...), неаутентифицированный злоумышленник может генерировать неограниченное количество уникальных ключей кэша, отправляя запросы с новыми локальными тегами, увеличивая кэш до тех пор, пока куча памяти не исчерпается и JVM не рухнет. Эта уязвимость зафиксирована в 4.10.22.
CVE-2026-33012Micronaut Framework - это фреймворк на основе JVM Full stack Java, предназначенный для создания модульных, легко тестируемых приложений JVM. Версии 4.7.0-4.10.16 использовали безграничный кэш ConcurrentHashMap без политики выселения в своем DefaultHtmlErrorResponseBodyProvider. Если приложение бросает исключение, на сообщение которого может влиять злоумышленник (например, включая параметры значения запроса), оно может быть использовано удаленными злоумышленниками, чтобы вызвать неограненный рост кучи и OutOfMemoryError, что приведет к DoS. Эта проблема исправлена в версии 4.10.7.
CVE-2026-44242Micronaut Framework - это фреймворк Java на основе JVM, предназначенный для создания модульных, легко тестируемых приложений JVM. До 4.10.22 пакет Camache находится в ключе (Locale, baseName), где локация происходит от заголовка HTTP Accept-Language. В приложениях, которые явно регистрируют бобы ResourceBundleMessageSource и обслуживают ответы на ошибки HTML, неаутентифицированный злоумышленник может исчерпать кучу памяти, отправляя запросы с большим количеством уникальных значений Accept-Language, каждое из которых вызывает новую запись в не ограниченном пакете. Эта уязвимость зафиксирована в 4.10.22.