Hello, Can anybody suggest a way to get some attention to these issues? I thought this was the right place for CVE discussion but maybe I was wrong about that.
Thanks, Jamie On Mon, Sep 18, 2023 at 1:30 PM Jamie Jackson <jamieja...@gmail.com> wrote: > Hello, > > If I'm understanding everything correctly, there are lingering > vulnerabilities in 8.11.2 dependencies. > > Total: 96 (UNKNOWN: 0, LOW: 9, MEDIUM: 48, HIGH: 26, CRITICAL: 13) > > If you have docker installed, you can run the following without installing > anything: > > # generate a list of CVEs to IGNORE, because Solr has deemed them > irrelevant > curl https://solr.apache.org/solr.vex.json | jq -r -c > '.vulnerabilities[]|select(.analysis.state == "not_affected") |.id' > > .solr.trivyignore > > # run a trivy scan on the image, and tell trivy to ignore the > aforementioned CVEs > docker run --rm -v /var/run/docker.sock:/var/run/docker.sock -v > /tmp/.trivy_cache:/root/.cache/trivy -v > $PWD/.solr.trivyignore:/.trivyignore aquasec/trivy image solr:8.11.2 > --scanners vuln --ignore-unfixed -f table > > Here's the output I get. (Sorry, wrapping will probably render it > illegible.) > > solr:8.11.2 (ubuntu 20.04) > ========================== > Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0) > > 2023-09-18T17:20:52.962Z INFO Table result includes only package > filenames. Use '--format json' option to get the full path to the package > file. > > Java (jar) > ========== > Total: 96 (UNKNOWN: 0, LOW: 9, MEDIUM: 48, HIGH: 26, CRITICAL: 13) > > > ┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ > │ Library │ > Vulnerability │ Severity │ Status │ Installed Version │ Fixed > Version │ Title > │ > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ com.fasterxml.jackson.core:jackson-databind │ > CVE-2022-42003 │ HIGH │ fixed │ 2.13.3 │ 2.12.7.1, > 2.13.4.1 │ deep wrapper array nesting wrt > UNWRAP_SINGLE_VALUE_ARRAYS │ > │ (jackson-databind-2.13.3.jar) │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-42003 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2022-42004 │ │ │ │ 2.12.7.1, > 2.13.4 │ use of deeply nested arrays > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-42004 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ com.fasterxml.jackson.core:jackson-databind │ > CVE-2018-11307 │ CRITICAL │ │ 2.4.0 │ 2.7.9.4, > 2.8.11.2, 2.9.6 │ jackson-databind: Potential information > exfiltration with │ > │ (htrace-core4-4.1.0-incubating.jar) │ > │ │ │ │ > │ default typing, serialization gadget from MyBatis │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2018-11307 > │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2018-14718 │ │ │ │ 2.6.7.2, > 2.9.7 │ jackson-databind: arbitrary code execution in > slf4j-ext │ > │ │ > │ │ │ │ > │ class │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2018-14718 > │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2019-14893 │ │ │ │ 2.8.11.5, > 2.9.10 │ Serialization gadgets in classes of the xalan > package │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2019-14893 > │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2019-16942 │ │ │ │ 2.9.10.1 > │ jackson-databind: Serialization gadgets in > │ > │ │ > │ │ │ │ > │ org.apache.commons.dbcp.datasources.* │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2019-16942 > │ > │ > ├─────────────────────┤ │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2019-16943 │ │ │ │ > │ jackson-databind: Serialization gadgets in > │ > │ │ > │ │ │ │ > │ com.p6spy.engine.spy.P6DataSource │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2019-16943 > │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2019-17267 │ │ │ │ 2.9.10 > │ Serialization gadgets in classes of the ehcache > package │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2019-17267 > │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2019-17531 │ │ │ │ 2.9.10.1 > │ jackson-databind: Serialization gadgets in > │ > │ │ > │ │ │ │ > │ org.apache.log4j.receivers.db.* │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2019-17531 > │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2019-20330 │ │ │ │ 2.8.11.5, > 2.9.10.2 │ jackson-databind: lacks certain net.sf.ehcache > blocking │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2019-20330 > │ > │ > ├─────────────────────┼──────────┤ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2020-10650 │ HIGH │ │ │ 2.9.10.4 > │ A deserialization flaw was discovered in > jackson-databind │ > │ │ > │ │ │ │ > │ through 2.9. ... │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2020-10650 > │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2020-36518 │ │ │ │ 2.12.6.1, > 2.13.2.1 │ denial of service via a large depth of nested > objects │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2020-36518 > │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2022-42003 │ │ │ │ 2.12.7.1, > 2.13.4.1 │ deep wrapper array nesting wrt > UNWRAP_SINGLE_VALUE_ARRAYS │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-42003 > │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2022-42004 │ │ │ │ 2.12.7.1, > 2.13.4 │ use of deeply nested arrays > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-42004 > │ > │ > ├─────────────────────┼──────────┤ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2018-1000873 │ MEDIUM │ │ │ 2.9.8 > │ jackson-modules-java8: DoS due to an Improper Input > │ > │ │ > │ │ │ │ > │ Validation │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2018-1000873 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ com.fasterxml.woodstox:woodstox-core │ > CVE-2022-40151 │ HIGH │ │ 6.2.4 │ 5.4.0, 6.4.0 > │ Xstream to serialise XML data was vulnerable to > Denial of │ > │ (woodstox-core-6.2.4.jar) │ > │ │ │ │ > │ Service attacks... │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-40151 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ > ├─────────────────────┤ │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2022-40152 │ │ │ │ > │ woodstox to serialise XML data was vulnerable to > Denial of │ > │ │ > │ │ │ │ > │ Service attacks... │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-40152 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > │ > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ com.google.code.gson:gson (gson-2.7.jar) │ > CVE-2022-25647 │ │ │ 2.7 │ 2.8.9 > │ Deserialization of Untrusted Data in > │ > │ │ > │ │ │ │ > │ com.google.code.gson-gson │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-25647 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > │ > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ com.google.guava:guava (junit4-ant-2.7.2.jar) │ > CVE-2023-2976 │ │ │ 25.0-jre │ 32.0.0 > │ insecure temporary directory creation > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-2976 > │ > │ > ├─────────────────────┼──────────┤ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2020-8908 │ LOW │ │ │ 30.0 > │ local information disclosure via temporary > directory created │ > │ │ > │ │ │ │ > │ with unsafe permissions │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2020-8908 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ com.google.guava:guava (guava-25.1-jre.jar) │ > CVE-2023-2976 │ HIGH │ │ 25.1-jre │ 32.0.0 > │ insecure temporary directory creation > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-2976 > │ > │ > ├─────────────────────┼──────────┤ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2020-8908 │ LOW │ │ │ 30.0 > │ local information disclosure via temporary > directory created │ > │ │ > │ │ │ │ > │ with unsafe permissions │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2020-8908 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ com.google.oauth-client:google-oauth-client │ > CVE-2021-22573 │ HIGH │ │ 1.32.1 │ 1.33.3 > │ Token signature not verified > │ > │ (google-oauth-client-1.32.1.jar) │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2021-22573 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ com.google.protobuf:protobuf-java (protobuf-java-3.11.0.jar) │ > CVE-2021-22570 │ MEDIUM │ │ 3.11.0 │ 3.15.0 > │ protobuf: Incorrect parsing of nullchar in the > proto symbol │ > │ │ > │ │ │ │ > │ leads to Nullptr... │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2021-22570 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > │ > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ io.netty:netty-common (netty-common-4.1.68.Final.jar) │ > CVE-2022-24823 │ │ │ 4.1.68.Final │ 4.1.77.Final > │ world readable temporary file containing sensitive > data │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-24823 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ io.netty:netty-handler (netty-handler-4.1.68.Final.jar) │ > CVE-2023-34462 │ │ │ │ 4.1.94.Final > │ SniHandler 16MB allocation leads to OOM > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-34462 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > │ > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.apache.ant:ant (ant-1.8.2.jar) │ > CVE-2020-1945 │ │ │ 1.8.2 │ 1.9.15, > 1.10.8 │ ant: insecure temporary file vulnerability > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2020-1945 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.apache.calcite.avatica:avatica-core │ > CVE-2022-36364 │ HIGH │ │ 1.18.0 │ 1.22.0 > │ Apache Calcite Avatica JDBC driver arbitrary code > execution │ > │ (avatica-core-1.18.0.jar) │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-36364 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.apache.calcite:calcite-core (calcite-core-1.27.0.jar) │ > CVE-2022-39135 │ CRITICAL │ │ 1.27.0 │ 1.32.0 > │ XXE via SQL operators > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-39135 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > │ > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.apache.derby:derby (derby-10.9.1.0.jar) │ > CVE-2015-1832 │ │ │ 10.9.1.0 │ 10.12.1.1 > │ Apache Derby: XXE attack possible by using XmlVTI > and the │ > │ │ > │ │ │ │ > │ XML datatype... │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2015-1832 > │ > │ > ├─────────────────────┼──────────┤ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2018-1313 │ MEDIUM │ │ │ 10.14.2.0 > │ derby: Externally-controlled input vulnerability > allows │ > │ │ > │ │ │ │ > │ remote attacker to boot a database under... │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2018-1313 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.apache.hadoop:hadoop-common (hadoop-common-3.2.2.jar) │ > CVE-2021-37404 │ CRITICAL │ │ 3.2.2 │ 3.2.3 > │ Heap buffer overflow in Apache Hadoop libhdfs > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2021-37404 > │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2022-26612 │ │ │ │ 3.2.3, 3.3.3 > │ Arbitrary file write in FileUtil#unpackEntries on > Windows │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-26612 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.apache.poi:poi (poi-4.1.2.jar) │ > CVE-2022-26336 │ MEDIUM │ │ 4.1.2 │ 5.2.1 > │ A carefully crafted TNEF file can cause an out of > memory │ > │ │ > │ │ │ │ > │ exception... │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-26336 > │ > ├──────────────────────────────────────────────────────────────┤ > │ │ │ │ > │ │ > │ org.apache.poi:poi-ooxml (poi-ooxml-4.1.2.jar) │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > ├──────────────────────────────────────────────────────────────┤ > │ │ │ │ > │ │ > │ org.apache.poi:poi-scratchpad (poi-scratchpad-4.1.2.jar) │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > │ > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.apache.tika:tika-core (tika-core-1.27.jar) │ > CVE-2022-30126 │ │ │ 1.27 │ 1.28.3, 2.4.0 > │ Regular Expression Denial of Service in standards > extractor │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-30126 > │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2022-30973 │ │ │ │ 1.28.3 > │ tika-core: incomplete fix for CVE-2022-30126 > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-30973 > │ > │ > ├─────────────────────┼──────────┤ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2022-33879 │ LOW │ │ │ 1.28.4, 2.4.1 > │ The initial fixes in CVE-2022-30126 and > CVE-2022-30973 for │ > │ │ > │ │ │ │ > │ regexes in ...... │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-33879 > │ > ├──────────────────────────────────────────────────────────────┤ > │ │ │ │ > │ │ > │ org.apache.tika:tika-parsers (tika-parsers-1.27.jar) │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.bitbucket.b_c:jose4j (jose4j-0.6.5.jar) │ > GHSA-jgvc-jfgh-rjvv │ MEDIUM │ │ 0.6.5 │ 0.9.3 > │ Chosen Ciphertext Attack in Jose4j > │ > │ │ > │ │ │ │ > │ https://github.com/advisories/GHSA-jgvc-jfgh-rjvv > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.eclipse.jetty.http2:http2-server │ > CVE-2022-2048 │ HIGH │ │ 9.4.44.v20210927 │ 9.4.47, > 10.0.10, 11.0.10 │ Invalid HTTP/2 requests cause DoS > │ > │ (http2-server-9.4.44.v20210927.jar) │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-2048 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.eclipse.jetty:jetty-client │ > CVE-2023-26048 │ MEDIUM │ │ │ > 9.4.51.v20230217, 10.0.14, 11.0.14 │ OutOfMemoryError for large multipart > without filename read │ > │ (jetty-client-9.4.44.v20210927.jar) │ > │ │ │ │ > │ via request.getParameter() │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26048 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ > ├─────────────────────┤ │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2023-26049 │ │ │ │ > │ Cookie parsing of quoted values can exfiltrate > values from │ > │ │ > │ │ │ │ > │ other cookies │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26049 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > │ │ │ > ├──────────────────────────────────────────────────────────────┤ > │ org.eclipse.jetty:jetty-deploy │ > CVE-2023-26048 │ │ │ │ > │ OutOfMemoryError for large multipart without > filename read │ > │ (jetty-deploy-9.4.44.v20210927.jar) │ > │ │ │ │ > │ via request.getParameter() │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26048 > │ > │ > ├─────────────────────┤ │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2023-26049 │ │ │ │ > │ Cookie parsing of quoted values can exfiltrate > values from │ > │ │ > │ │ │ │ > │ other cookies │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26049 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > │ │ │ > ├──────────────────────────────────────────────────────────────┤ > │ org.eclipse.jetty:jetty-http │ > CVE-2023-26048 │ │ │ │ > │ OutOfMemoryError for large multipart without > filename read │ > │ (jetty-http-9.4.44.v20210927.jar) │ > │ │ │ │ > │ via request.getParameter() │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26048 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ > ├─────────────────────┤ │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2023-26049 │ │ │ │ > │ Cookie parsing of quoted values can exfiltrate > values from │ > │ │ > │ │ │ │ > │ other cookies │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26049 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ > ├─────────────────────┤ │ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2023-40167 │ │ │ │ 9.4.52, > 10.0.16, 11.0.16, 12.0.1 │ Jetty is a Java based web server and servlet > engine. Prior │ > │ │ > │ │ │ │ > │ to... │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-40167 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ > ├─────────────────────┼──────────┤ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2022-2047 │ LOW │ │ │ > 9.4.46.v20220331, 10.0.9, 11.0.10 │ improver hostname input handling > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-2047 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.eclipse.jetty:jetty-io (jetty-io-9.4.44.v20210927.jar) │ > CVE-2023-26048 │ MEDIUM │ │ │ > 9.4.51.v20230217, 10.0.14, 11.0.14 │ OutOfMemoryError for large multipart > without filename read │ > │ │ > │ │ │ │ > │ via request.getParameter() │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26048 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ > ├─────────────────────┤ │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2023-26049 │ │ │ │ > │ Cookie parsing of quoted values can exfiltrate > values from │ > │ │ > │ │ │ │ > │ other cookies │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26049 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > │ │ │ > ├──────────────────────────────────────────────────────────────┤ > │ org.eclipse.jetty:jetty-server │ > CVE-2023-26048 │ │ │ │ > │ OutOfMemoryError for large multipart without > filename read │ > │ (jetty-server-9.4.44.v20210927.jar) │ > │ │ │ │ > │ via request.getParameter() │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26048 > │ > │ > ├─────────────────────┤ │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2023-26049 │ │ │ │ > │ Cookie parsing of quoted values can exfiltrate > values from │ > │ │ > │ │ │ │ > │ other cookies │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26049 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > │ │ │ > ├──────────────────────────────────────────────────────────────┤ > │ org.eclipse.jetty:jetty-servlets │ > CVE-2023-26048 │ │ │ │ > │ OutOfMemoryError for large multipart without > filename read │ > │ (jetty-servlets-9.4.44.v20210927.jar) │ > │ │ │ │ > │ via request.getParameter() │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26048 > │ > │ > ├─────────────────────┤ │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2023-26049 │ │ │ │ > │ Cookie parsing of quoted values can exfiltrate > values from │ > │ │ > │ │ │ │ > │ other cookies │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26049 > │ > │ > ├─────────────────────┼──────────┤ │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2023-36479 │ LOW │ │ │ 9.4.52, > 10.0.16, 11.0.16 │ Jetty vulnerable to errant command quoting in > CGI Servlet │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-36479 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.eclipse.jetty:jetty-util │ > CVE-2023-26048 │ MEDIUM │ │ │ > 9.4.51.v20230217, 10.0.14, 11.0.14 │ OutOfMemoryError for large multipart > without filename read │ > │ (jetty-util-9.4.44.v20210927.jar) │ > │ │ │ │ > │ via request.getParameter() │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26048 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ > ├─────────────────────┤ │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2023-26049 │ │ │ │ > │ Cookie parsing of quoted values can exfiltrate > values from │ > │ │ > │ │ │ │ > │ other cookies │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26049 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > │ │ │ > ├──────────────────────────────────────────────────────────────┤ > │ org.eclipse.jetty:jetty-webapp │ > CVE-2023-26048 │ │ │ │ > │ OutOfMemoryError for large multipart without > filename read │ > │ (jetty-webapp-9.4.44.v20210927.jar) │ > │ │ │ │ > │ via request.getParameter() │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26048 > │ > │ > ├─────────────────────┤ │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2023-26049 │ │ │ │ > │ Cookie parsing of quoted values can exfiltrate > values from │ > │ │ > │ │ │ │ > │ other cookies │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-26049 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > │ > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.eclipse.jetty:jetty-xml (jetty-xml-9.4.44.v20210927.jar) │ > GHSA-58qw-p7qm-5rvh │ LOW │ │ │ 10.0.16, > 11.0.16, 9.4.52, 12.0.0 │ Eclipse Jetty XmlParser allows arbitrary > DOCTYPE │ > │ │ > │ │ │ │ > │ declarations │ > │ │ > │ │ │ │ > │ https://github.com/advisories/GHSA-58qw-p7qm-5rvh > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.hsqldb:hsqldb (hsqldb-2.4.0.jar) │ > CVE-2022-41853 │ CRITICAL │ │ 2.4.0 │ 2.7.1 > │ Untrusted input may lead to RCE attack > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2022-41853 > │ > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > │ org.xerial.snappy:snappy-java (snappy-java-1.1.7.6.jar) │ > CVE-2023-34453 │ HIGH │ │ 1.1.7.6 │ 1.1.10.1 > │ Integer overflow in shuffle leads to DoS > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-34453 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ > ├─────────────────────┤ │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2023-34454 │ │ │ │ > │ Integer overflow in compress leads to DoS > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-34454 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ > ├─────────────────────┤ │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > │ │ > CVE-2023-34455 │ │ │ │ > │ Unchecked chunk length leads to DoS > │ > │ │ > │ │ │ │ > │ https://avd.aquasec.com/nvd/cve-2023-34455 > │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > │ │ > │ │ │ │ > │ │ > > └──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴────────────────────────────────────┴──────────────────────────────────────────────────────────────┘ >
