nvd,anchore_overrides
Pippo
Уязвимости
6
Эксплуатируемые
0
Критический
4
Высокий
2
Топ продуктов
Топ уязвимостей
CVE-2018-20059jaxb/JaxbEngine.java в Pippo 1.11.0 допускает XXE.
CVE-2018-18628В Pippo 1.11.0 обнаружена проблема. Функция SerializationSessionDataTranscoder.decode() вызывает ObjectInputStream.readObject() для десериализации объекта SessionData без проверки типов объектов. Злоумышленник может создать вредоносный объект, закодировать его в base64 и поместить в поле PIPPO_SESSION файла cookie. Отправка этого файла cookie может привести к удаленному выполнению кода.
CVE-2018-18240Pippo до версии 1.11.0 позволяет удаленно выполнять код через команду java.lang.ProcessBuilder, поскольку компонент XstreamEngine не использует доступные механизмы защиты XStream для ограничения демаршалинга.
CVE-2017-18349parseObject в Fastjson до версии 1.2.25, как используется в FastjsonEngine в Pippo 1.11.0 и других продуктах, позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный JSON-запрос, как продемонстрировано специально созданным rmi:// URI в поле dataSourceName данных HTTP POST в URI Pippo /json, который неправильно обрабатывается в AjaxApplication.java.
CVE-2025-69037Неправильное управление filename для включения/обязательство в PHP-программе (PHP Remote File Inclusion) в goalthemes Pippo позволяет PHP Local File Inclusion.Эта проблема затрагивает Pippo: от n/a до <= 1.2.3.
CVE-2019-5442Расширение XML-сущностей (атака «миллиард смехов») в Pippo 1.12.0 приводит к отказу в обслуживании. Сущности создаются рекурсивно, и выделяется большой объем памяти кучи. В конце концов, процесс JVM исчерпает память. В противном случае, если ОС не ограничивает память для этого процесса, память будет продолжать истощаться и повлияет на другие процессы в системе.