Is there any issue among those that has been known to be a vulnerability to Solr? Often times, Solr uses multiple external dependencies that may have vulnerabilities that can't be exploited through Solr, and those vulnerabilities are of less concern to Solr in terms of urgency to address it.
On Mon, 2 Oct, 2023, 10:05 pm Jamie Jackson, <jamieja...@gmail.com> wrote: > Hello, > > Can anybody suggest a way to get some attention to these issues? I thought > this was the right place for CVE discussion but maybe I was wrong about > that. > > Thanks, > Jamie > > On Mon, Sep 18, 2023 at 1:30 PM Jamie Jackson <jamieja...@gmail.com> > wrote: > > > Hello, > > > > If I'm understanding everything correctly, there are lingering > > vulnerabilities in 8.11.2 dependencies. > > > > Total: 96 (UNKNOWN: 0, LOW: 9, MEDIUM: 48, HIGH: 26, CRITICAL: 13) > > > > If you have docker installed, you can run the following without > installing > > anything: > > > > # generate a list of CVEs to IGNORE, because Solr has deemed them > > irrelevant > > curl https://solr.apache.org/solr.vex.json | jq -r -c > > '.vulnerabilities[]|select(.analysis.state == "not_affected") |.id' > > > .solr.trivyignore > > > > # run a trivy scan on the image, and tell trivy to ignore the > > aforementioned CVEs > > docker run --rm -v /var/run/docker.sock:/var/run/docker.sock -v > > /tmp/.trivy_cache:/root/.cache/trivy -v > > $PWD/.solr.trivyignore:/.trivyignore aquasec/trivy image solr:8.11.2 > > --scanners vuln --ignore-unfixed -f table > > > > Here's the output I get. (Sorry, wrapping will probably render it > > illegible.) > > > > solr:8.11.2 (ubuntu 20.04) > > ========================== > > Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0) > > > > 2023-09-18T17:20:52.962Z INFO Table result includes only package > > filenames. Use '--format json' option to get the full path to the package > > file. > > > > Java (jar) > > ========== > > Total: 96 (UNKNOWN: 0, LOW: 9, MEDIUM: 48, HIGH: 26, CRITICAL: 13) > > > > > > > ┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ > > │ Library │ > > Vulnerability │ Severity │ Status │ Installed Version │ > Fixed > > Version │ Title > > │ > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ com.fasterxml.jackson.core:jackson-databind │ > > CVE-2022-42003 │ HIGH │ fixed │ 2.13.3 │ 2.12.7.1, > > 2.13.4.1 │ deep wrapper array nesting wrt > > UNWRAP_SINGLE_VALUE_ARRAYS │ > > │ (jackson-databind-2.13.3.jar) │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-42003 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2022-42004 │ │ │ │ 2.12.7.1, > > 2.13.4 │ use of deeply nested arrays > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-42004 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ com.fasterxml.jackson.core:jackson-databind │ > > CVE-2018-11307 │ CRITICAL │ │ 2.4.0 │ 2.7.9.4, > > 2.8.11.2, 2.9.6 │ jackson-databind: Potential information > > exfiltration with │ > > │ (htrace-core4-4.1.0-incubating.jar) │ > > │ │ │ │ > > │ default typing, serialization gadget from MyBatis > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2018-11307 > > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2018-14718 │ │ │ │ 2.6.7.2, > > 2.9.7 │ jackson-databind: arbitrary code execution in > > slf4j-ext │ > > │ │ > > │ │ │ │ > > │ class > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2018-14718 > > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2019-14893 │ │ │ │ 2.8.11.5, > > 2.9.10 │ Serialization gadgets in classes of the xalan > > package │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2019-14893 > > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2019-16942 │ │ │ │ 2.9.10.1 > > │ jackson-databind: Serialization gadgets in > > │ > > │ │ > > │ │ │ │ > > │ org.apache.commons.dbcp.datasources.* > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2019-16942 > > │ > > │ > > ├─────────────────────┤ │ │ │ > > > > ├──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2019-16943 │ │ │ │ > > │ jackson-databind: Serialization gadgets in > > │ > > │ │ > > │ │ │ │ > > │ com.p6spy.engine.spy.P6DataSource > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2019-16943 > > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2019-17267 │ │ │ │ 2.9.10 > > │ Serialization gadgets in classes of the ehcache > > package │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2019-17267 > > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2019-17531 │ │ │ │ 2.9.10.1 > > │ jackson-databind: Serialization gadgets in > > │ > > │ │ > > │ │ │ │ > > │ org.apache.log4j.receivers.db.* > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2019-17531 > > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2019-20330 │ │ │ │ 2.8.11.5, > > 2.9.10.2 │ jackson-databind: lacks certain net.sf.ehcache > > blocking │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2019-20330 > > │ > > │ > > ├─────────────────────┼──────────┤ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2020-10650 │ HIGH │ │ │ 2.9.10.4 > > │ A deserialization flaw was discovered in > > jackson-databind │ > > │ │ > > │ │ │ │ > > │ through 2.9. ... > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2020-10650 > > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2020-36518 │ │ │ │ 2.12.6.1, > > 2.13.2.1 │ denial of service via a large depth of nested > > objects │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2020-36518 > > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2022-42003 │ │ │ │ 2.12.7.1, > > 2.13.4.1 │ deep wrapper array nesting wrt > > UNWRAP_SINGLE_VALUE_ARRAYS │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-42003 > > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2022-42004 │ │ │ │ 2.12.7.1, > > 2.13.4 │ use of deeply nested arrays > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-42004 > > │ > > │ > > ├─────────────────────┼──────────┤ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2018-1000873 │ MEDIUM │ │ │ 2.9.8 > > │ jackson-modules-java8: DoS due to an Improper > Input > > │ > > │ │ > > │ │ │ │ > > │ Validation > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2018-1000873 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ com.fasterxml.woodstox:woodstox-core │ > > CVE-2022-40151 │ HIGH │ │ 6.2.4 │ 5.4.0, > 6.4.0 > > │ Xstream to serialise XML data was vulnerable to > > Denial of │ > > │ (woodstox-core-6.2.4.jar) │ > > │ │ │ │ > > │ Service attacks... > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-40151 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ > > ├─────────────────────┤ │ │ │ > > > > ├──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2022-40152 │ │ │ │ > > │ woodstox to serialise XML data was vulnerable to > > Denial of │ > > │ │ > > │ │ │ │ > > │ Service attacks... > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-40152 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > │ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ com.google.code.gson:gson (gson-2.7.jar) │ > > CVE-2022-25647 │ │ │ 2.7 │ 2.8.9 > > │ Deserialization of Untrusted Data in > > │ > > │ │ > > │ │ │ │ > > │ com.google.code.gson-gson > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-25647 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > │ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ com.google.guava:guava (junit4-ant-2.7.2.jar) │ > > CVE-2023-2976 │ │ │ 25.0-jre │ 32.0.0 > > │ insecure temporary directory creation > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-2976 > > │ > > │ > > ├─────────────────────┼──────────┤ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2020-8908 │ LOW │ │ │ 30.0 > > │ local information disclosure via temporary > > directory created │ > > │ │ > > │ │ │ │ > > │ with unsafe permissions > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2020-8908 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ com.google.guava:guava (guava-25.1-jre.jar) │ > > CVE-2023-2976 │ HIGH │ │ 25.1-jre │ 32.0.0 > > │ insecure temporary directory creation > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-2976 > > │ > > │ > > ├─────────────────────┼──────────┤ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2020-8908 │ LOW │ │ │ 30.0 > > │ local information disclosure via temporary > > directory created │ > > │ │ > > │ │ │ │ > > │ with unsafe permissions > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2020-8908 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ com.google.oauth-client:google-oauth-client │ > > CVE-2021-22573 │ HIGH │ │ 1.32.1 │ 1.33.3 > > │ Token signature not verified > > │ > > │ (google-oauth-client-1.32.1.jar) │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2021-22573 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ com.google.protobuf:protobuf-java (protobuf-java-3.11.0.jar) │ > > CVE-2021-22570 │ MEDIUM │ │ 3.11.0 │ 3.15.0 > > │ protobuf: Incorrect parsing of nullchar in the > > proto symbol │ > > │ │ > > │ │ │ │ > > │ leads to Nullptr... > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2021-22570 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > │ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ io.netty:netty-common (netty-common-4.1.68.Final.jar) │ > > CVE-2022-24823 │ │ │ 4.1.68.Final │ > 4.1.77.Final > > │ world readable temporary file containing > sensitive > > data │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-24823 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ io.netty:netty-handler (netty-handler-4.1.68.Final.jar) │ > > CVE-2023-34462 │ │ │ │ > 4.1.94.Final > > │ SniHandler 16MB allocation leads to OOM > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-34462 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > │ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.apache.ant:ant (ant-1.8.2.jar) │ > > CVE-2020-1945 │ │ │ 1.8.2 │ 1.9.15, > > 1.10.8 │ ant: insecure temporary file vulnerability > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2020-1945 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.apache.calcite.avatica:avatica-core │ > > CVE-2022-36364 │ HIGH │ │ 1.18.0 │ 1.22.0 > > │ Apache Calcite Avatica JDBC driver arbitrary code > > execution │ > > │ (avatica-core-1.18.0.jar) │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-36364 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.apache.calcite:calcite-core (calcite-core-1.27.0.jar) │ > > CVE-2022-39135 │ CRITICAL │ │ 1.27.0 │ 1.32.0 > > │ XXE via SQL operators > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-39135 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > │ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.apache.derby:derby (derby-10.9.1.0.jar) │ > > CVE-2015-1832 │ │ │ 10.9.1.0 │ 10.12.1.1 > > │ Apache Derby: XXE attack possible by using XmlVTI > > and the │ > > │ │ > > │ │ │ │ > > │ XML datatype... > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2015-1832 > > │ > > │ > > ├─────────────────────┼──────────┤ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2018-1313 │ MEDIUM │ │ │ 10.14.2.0 > > │ derby: Externally-controlled input vulnerability > > allows │ > > │ │ > > │ │ │ │ > > │ remote attacker to boot a database under... > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2018-1313 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.apache.hadoop:hadoop-common (hadoop-common-3.2.2.jar) │ > > CVE-2021-37404 │ CRITICAL │ │ 3.2.2 │ 3.2.3 > > │ Heap buffer overflow in Apache Hadoop libhdfs > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2021-37404 > > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2022-26612 │ │ │ │ 3.2.3, > 3.3.3 > > │ Arbitrary file write in FileUtil#unpackEntries on > > Windows │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-26612 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.apache.poi:poi (poi-4.1.2.jar) │ > > CVE-2022-26336 │ MEDIUM │ │ 4.1.2 │ 5.2.1 > > │ A carefully crafted TNEF file can cause an out of > > memory │ > > │ │ > > │ │ │ │ > > │ exception... > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-26336 > > │ > > ├──────────────────────────────────────────────────────────────┤ > > │ │ │ │ > > │ > │ > > │ org.apache.poi:poi-ooxml (poi-ooxml-4.1.2.jar) │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > ├──────────────────────────────────────────────────────────────┤ > > │ │ │ │ > > │ > │ > > │ org.apache.poi:poi-scratchpad (poi-scratchpad-4.1.2.jar) │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > │ > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.apache.tika:tika-core (tika-core-1.27.jar) │ > > CVE-2022-30126 │ │ │ 1.27 │ 1.28.3, > 2.4.0 > > │ Regular Expression Denial of Service in standards > > extractor │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-30126 > > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2022-30973 │ │ │ │ 1.28.3 > > │ tika-core: incomplete fix for CVE-2022-30126 > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-30973 > > │ > > │ > > ├─────────────────────┼──────────┤ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2022-33879 │ LOW │ │ │ 1.28.4, > 2.4.1 > > │ The initial fixes in CVE-2022-30126 and > > CVE-2022-30973 for │ > > │ │ > > │ │ │ │ > > │ regexes in ...... > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-33879 > > │ > > ├──────────────────────────────────────────────────────────────┤ > > │ │ │ │ > > │ > │ > > │ org.apache.tika:tika-parsers (tika-parsers-1.27.jar) │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.bitbucket.b_c:jose4j (jose4j-0.6.5.jar) │ > > GHSA-jgvc-jfgh-rjvv │ MEDIUM │ │ 0.6.5 │ 0.9.3 > > │ Chosen Ciphertext Attack in Jose4j > > │ > > │ │ > > │ │ │ │ > > │ https://github.com/advisories/GHSA-jgvc-jfgh-rjvv > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.eclipse.jetty.http2:http2-server │ > > CVE-2022-2048 │ HIGH │ │ 9.4.44.v20210927 │ 9.4.47, > > 10.0.10, 11.0.10 │ Invalid HTTP/2 requests cause DoS > > │ > > │ (http2-server-9.4.44.v20210927.jar) │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-2048 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.eclipse.jetty:jetty-client │ > > CVE-2023-26048 │ MEDIUM │ │ │ > > 9.4.51.v20230217, 10.0.14, 11.0.14 │ OutOfMemoryError for large multipart > > without filename read │ > > │ (jetty-client-9.4.44.v20210927.jar) │ > > │ │ │ │ > > │ via request.getParameter() > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ > > ├─────────────────────┤ │ │ │ > > > > ├──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2023-26049 │ │ │ │ > > │ Cookie parsing of quoted values can exfiltrate > > values from │ > > │ │ > > │ │ │ │ > > │ other cookies > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > > │ org.eclipse.jetty:jetty-deploy │ > > CVE-2023-26048 │ │ │ │ > > │ OutOfMemoryError for large multipart without > > filename read │ > > │ (jetty-deploy-9.4.44.v20210927.jar) │ > > │ │ │ │ > > │ via request.getParameter() > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > │ > > │ > > ├─────────────────────┤ │ │ │ > > > > ├──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2023-26049 │ │ │ │ > > │ Cookie parsing of quoted values can exfiltrate > > values from │ > > │ │ > > │ │ │ │ > > │ other cookies > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > > │ org.eclipse.jetty:jetty-http │ > > CVE-2023-26048 │ │ │ │ > > │ OutOfMemoryError for large multipart without > > filename read │ > > │ (jetty-http-9.4.44.v20210927.jar) │ > > │ │ │ │ > > │ via request.getParameter() > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ > > ├─────────────────────┤ │ │ │ > > > > ├──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2023-26049 │ │ │ │ > > │ Cookie parsing of quoted values can exfiltrate > > values from │ > > │ │ > > │ │ │ │ > > │ other cookies > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ > > ├─────────────────────┤ │ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2023-40167 │ │ │ │ 9.4.52, > > 10.0.16, 11.0.16, 12.0.1 │ Jetty is a Java based web server and servlet > > engine. Prior │ > > │ │ > > │ │ │ │ > > │ to... > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-40167 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ > > ├─────────────────────┼──────────┤ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2022-2047 │ LOW │ │ │ > > 9.4.46.v20220331, 10.0.9, 11.0.10 │ improver hostname input handling > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-2047 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.eclipse.jetty:jetty-io (jetty-io-9.4.44.v20210927.jar) │ > > CVE-2023-26048 │ MEDIUM │ │ │ > > 9.4.51.v20230217, 10.0.14, 11.0.14 │ OutOfMemoryError for large multipart > > without filename read │ > > │ │ > > │ │ │ │ > > │ via request.getParameter() > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ > > ├─────────────────────┤ │ │ │ > > > > ├──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2023-26049 │ │ │ │ > > │ Cookie parsing of quoted values can exfiltrate > > values from │ > > │ │ > > │ │ │ │ > > │ other cookies > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > > │ org.eclipse.jetty:jetty-server │ > > CVE-2023-26048 │ │ │ │ > > │ OutOfMemoryError for large multipart without > > filename read │ > > │ (jetty-server-9.4.44.v20210927.jar) │ > > │ │ │ │ > > │ via request.getParameter() > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > │ > > │ > > ├─────────────────────┤ │ │ │ > > > > ├──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2023-26049 │ │ │ │ > > │ Cookie parsing of quoted values can exfiltrate > > values from │ > > │ │ > > │ │ │ │ > > │ other cookies > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > > │ org.eclipse.jetty:jetty-servlets │ > > CVE-2023-26048 │ │ │ │ > > │ OutOfMemoryError for large multipart without > > filename read │ > > │ (jetty-servlets-9.4.44.v20210927.jar) │ > > │ │ │ │ > > │ via request.getParameter() > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > │ > > │ > > ├─────────────────────┤ │ │ │ > > > > ├──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2023-26049 │ │ │ │ > > │ Cookie parsing of quoted values can exfiltrate > > values from │ > > │ │ > > │ │ │ │ > > │ other cookies > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > │ > > │ > > ├─────────────────────┼──────────┤ │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2023-36479 │ LOW │ │ │ 9.4.52, > > 10.0.16, 11.0.16 │ Jetty vulnerable to errant command quoting > in > > CGI Servlet │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-36479 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.eclipse.jetty:jetty-util │ > > CVE-2023-26048 │ MEDIUM │ │ │ > > 9.4.51.v20230217, 10.0.14, 11.0.14 │ OutOfMemoryError for large multipart > > without filename read │ > > │ (jetty-util-9.4.44.v20210927.jar) │ > > │ │ │ │ > > │ via request.getParameter() > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ > > ├─────────────────────┤ │ │ │ > > > > ├──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2023-26049 │ │ │ │ > > │ Cookie parsing of quoted values can exfiltrate > > values from │ > > │ │ > > │ │ │ │ > > │ other cookies > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > │ │ │ > > ├──────────────────────────────────────────────────────────────┤ > > │ org.eclipse.jetty:jetty-webapp │ > > CVE-2023-26048 │ │ │ │ > > │ OutOfMemoryError for large multipart without > > filename read │ > > │ (jetty-webapp-9.4.44.v20210927.jar) │ > > │ │ │ │ > > │ via request.getParameter() > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > │ > > │ > > ├─────────────────────┤ │ │ │ > > > > ├──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2023-26049 │ │ │ │ > > │ Cookie parsing of quoted values can exfiltrate > > values from │ > > │ │ > > │ │ │ │ > > │ other cookies > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > │ > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.eclipse.jetty:jetty-xml (jetty-xml-9.4.44.v20210927.jar) │ > > GHSA-58qw-p7qm-5rvh │ LOW │ │ │ 10.0.16, > > 11.0.16, 9.4.52, 12.0.0 │ Eclipse Jetty XmlParser allows arbitrary > > DOCTYPE │ > > │ │ > > │ │ │ │ > > │ declarations > │ > > │ │ > > │ │ │ │ > > │ https://github.com/advisories/GHSA-58qw-p7qm-5rvh > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.hsqldb:hsqldb (hsqldb-2.4.0.jar) │ > > CVE-2022-41853 │ CRITICAL │ │ 2.4.0 │ 2.7.1 > > │ Untrusted input may lead to RCE attack > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2022-41853 > > │ > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > │ org.xerial.snappy:snappy-java (snappy-java-1.1.7.6.jar) │ > > CVE-2023-34453 │ HIGH │ │ 1.1.7.6 │ 1.1.10.1 > > │ Integer overflow in shuffle leads to DoS > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-34453 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ > > ├─────────────────────┤ │ │ │ > > > > ├──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2023-34454 │ │ │ │ > > │ Integer overflow in compress leads to DoS > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-34454 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ > > ├─────────────────────┤ │ │ │ > > > > ├──────────────────────────────────────────────────────────────┤ > > │ │ > > CVE-2023-34455 │ │ │ │ > > │ Unchecked chunk length leads to DoS > > │ > > │ │ > > │ │ │ │ > > │ https://avd.aquasec.com/nvd/cve-2023-34455 > > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > │ │ > > │ │ │ │ > > │ > │ > > > > > └──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴────────────────────────────────────┴──────────────────────────────────────────────────────────────┘ > > >
