nvd
Lightbend
Уязвимости
19
Эксплуатируемые
0
Критический
2
Высокий
12
Топ уязвимостей
CVE-2014-3630Уязвимость XML external entity (XXE) в функциональности обработки Java XML в Play до версии 2.2.6 и 2.3.x до 2.3.5 может позволить удаленным злоумышленникам читать произвольные файлы, вызывать отказ в обслуживании или иметь другие неуказанные последствия через подделанные XML-данные.
CVE-2018-16115Lightbend Akka 2.5.x до 2.5.16 допускает раскрытие и изменение сообщений из-за ошибки RNG. Генератор случайных чисел используется в Akka Remoting для TLS (как классического, так и Artery Remoting). Akka позволяет настраивать пользовательские генераторы случайных чисел. По историческим причинам Akka включала генераторы случайных чисел AES128CounterSecureRNG и AES256CounterSecureRNG. В реализациях была ошибка, из-за которой сгенерированные числа повторялись всего через несколько байтов. Пользовательские реализации RNG не были настроены по умолчанию, но примеры в документации показывали (и, следовательно, неявно рекомендовали) использование пользовательских. Это может быть использовано злоумышленником для компрометации связи, если эти генераторы случайных чисел включены в конфигурации. Было бы возможно прослушивать, воспроизводить или изменять сообщения, отправленные с помощью Akka Remoting/Cluster.
CVE-2023-31442В Lightbend Akka до 2.8.1 асинхронный DNS-резолвер (используемый Discovery в режиме DNS и транзитивно Cluster Bootstrap) использует предсказуемые идентификаторы транзакций DNS при разрешении записей DNS, что делает разрешение DNS подверженным отравлению злоумышленником. Если приложение, выполняющее обнаружение, не проверяет (например, через TLS) подлинность обнаруженной службы, это может привести к утечке данных приложения (например, события сохранения могут быть опубликованы в непредназначенном брокере Kafka). Если такая проверка выполняется, то отравление представляет собой отказ в доступе к намеченной службе. Это затрагивает Akka 2.5.14-2.8.0 и Akka Discovery до 2.8.0.
CVE-2022-31023Play Framework — это веб-фреймворк для Java и Scala. Версии до 2.8.16 уязвимы для создания сообщений об ошибках, содержащих конфиденциальную информацию. Play Framework, при запуске в режиме разработки, отображает подробные ошибки для облегчения отладки, включая трассировку стека исключений. Play делает это, настраивая свой `DefaultHttpErrorHandler` для этого на основе режима приложения. В своем Scala API Play также предоставляет статический объект `DefaultHttpErrorHandler`, который настроен на постоянное отображение подробных ошибок. Он используется в качестве значения по умолчанию в некоторых API Play, поэтому можно непреднамеренно использовать эту версию в production. Также возможно неправильно настроить экземпляр объекта `DefaultHttpErrorHandler` в качестве внедренного обработчика ошибок. Обе эти ситуации могут привести к отображению подробных ошибок пользователям в production-приложении, что может привести к раскрытию конфиденциальной информации из приложения. В частности, конструктор для `CORSFilter` и метод `apply` для `CORSActionBuilder` используют статический объект `DefaultHttpErrorHandler` в качестве значения по умолчанию. Это исправлено в Play Framework 2.8.16. Объект `DefaultHttpErrorHandler` был изменен для использования поведения в prod-mode, а `DevHttpErrorHandler` был представлен для поведения в dev-mode. Доступно обходное решение. При создании `CORSFilter` или `CORSActionBuilder` убедитесь, что передан правильно настроенный обработчик ошибок. Как правило, это следует делать с помощью экземпляра `HttpErrorHandler`, предоставляемого через внедрение зависимостей, или через `BuiltInComponents` Play. Убедитесь, что приложение не использует статический объект `DefaultHttpErrorHandler` в каком-либо коде, который может выполняться в production.
CVE-2022-31018Play Framework — это веб-фреймворк для Java и Scala. В версиях 2.8.3–2.8.15 библиотеки форм Play (как в Scala, так и в Java API) обнаружена уязвимость, связанная с отказом в обслуживании. Это может произойти при использовании метода `Form#bindFromRequest` в теле запроса JSON или метода `Form#bind` непосредственно в значении JSON. Если данные JSON, привязанные к форме, содержат глубоко вложенный объект или массив JSON, реализация привязки формы может использовать все доступное пространство кучи и вызвать ошибку `OutOfMemoryError`. Если выполнение происходит в диспетчере по умолчанию и `akka.jvm-exit-on-fatal-error` включено (как это делается по умолчанию), это может привести к сбою процесса приложения. `Form.bindFromRequest` уязвим при использовании любого анализатора тела, который создает тип `AnyContent` или `JsValue` в Scala или который может создавать `JsonNode` в Java. Сюда входит анализатор тела Play по умолчанию. Эта уязвимость была исправлена в версии 2.8.16. Теперь существует глобальное ограничение на глубину объекта JSON, который можно проанализировать, которое при необходимости может быть настроено пользователем. В качестве обходного решения приложения, которым не нужно анализировать тело запроса типа `application/json`, могут переключиться с анализатора тела по умолчанию на другой анализатор тела, который поддерживает только определенный тип тела, который они ожидают.
CVE-2020-27196Обнаружена проблема в PlayJava в Play Framework 2.6.0 до 2.8.2. Анализ тела HTTP-запросов активно анализирует полезную нагрузку, учитывая заголовок Content-Type. Глубокая структура JSON, отправленная в допустимую конечную точку POST (которая может ожидать или не ожидать полезную нагрузку JSON), вызывает StackOverflowError и отказ в обслуживании.
CVE-2020-26883В Play Framework 2.6.0 до 2.8.2 может произойти потребление стека из-за неограниченной рекурсии во время анализа специально созданных JSON-документов.
CVE-2020-26882В Play Framework 2.6.0 до 2.8.2 может произойти усиление данных, когда приложение принимает входные данные JSON multipart/form-data.
CVE-2019-17598Проблема обнаружена в Lightbend Play Framework 2.5.x - 2.6.23. Если настроено выполнение запросов с использованием аутентифицированного HTTP-прокси, play-ws может иногда, обычно при высокой нагрузке, при подключении к целевому хосту с использованием https, раскрывать учетные данные прокси-сервера целевому хосту.
CVE-2018-18854Lightbend Spray spray-json до 1.3.4 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ресурсов) из-за алгоритмической сложности во время анализа множества полей объекта JSON (с ключами, имеющими один и тот же хеш-код).
CVE-2018-18853Lightbend Spray spray-json до 1.3.4 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ресурсов) из-за алгоритмической сложности во время анализа поля, состоящего из множества десятичных знаков.
CVE-2018-16131Директивы decodeRequest и decodeRequestWith в Lightbend Akka HTTP 10.1.x до 10.1.4 и 10.0.x до 10.0.13 позволяют удаленным злоумышленникам вызывать отказ в обслуживании (потребление памяти и сбой демона) через ZIP-бомбу.
CVE-2018-13864В контроллере Assets в Play Framework 2.6.12–2.6.15 (исправлено в 2.6.16) обнаружена уязвимость обхода каталогов при работе в Windows. Это позволяет удаленному злоумышленнику загружать произвольные файлы с целевого сервера с помощью специально созданных HTTP-запросов.
CVE-2015-2156Netty до версий 3.9.8.Final, 3.10.x до 3.10.3.Final, 4.0.x до 4.0.28.Final и 4.1.x до 4.1.0.Beta5 и Play Framework 2.x до 2.3.9 могут позволить удаленным злоумышленникам обойти флаг httpOnly в файлах cookie и получить конфиденциальную информацию, используя неправильную проверку символов имени и значения файла cookie.
CVE-2021-23339Это затрагивает все версии до 10.1.14 и с 10.2.0 до 10.2.4 пакета com.typesafe.akka:akka-http-core. Это позволяет использовать несколько заголовков Transfer-Encoding.
CVE-2020-12480В Play Framework с 2.6.0 по 2.8.1 фильтр CSRF можно обойти, выполняя простые запросы CORS с типами контента, которые содержат параметры, которые не могут быть проанализированы.
CVE-2023-33251Когда Akka HTTP до версии 10.5.2 принимает загрузку файлов через директиву FileUploadDirectives.fileUploadAll, создаваемый им временный файл имеет слишком слабые разрешения: он доступен для чтения другим пользователям в Linux или UNIX, проблема, аналогичная CVE-2022-41946.
CVE-2023-29471Lightbend Alpakka Kafka до версии 5.0.0 регистрирует свою конфигурацию как отладочную информацию, и, таким образом, файлы журналов могут содержать учетные данные (если настроен обычный открытый текст для входа). Это происходит в akka.kafka.internal.KafkaConsumerActor.
CVE-2020-28923В Play Framework версий 2.8.0 - 2.8.4 обнаружена проблема. Тщательно разработанные JSON-payloads, отправленные в виде поля формы, приводят к усилению данных. Это затрагивает пользователей, переходящих с версии Play до 2.8.0, которые использовали Play Java API для сериализации классов с защищенными или приватными полями в JSON.