The nice thing about the (repeatable) way that I've structured the scan is that I'm automatically filtering *out* everything that the Solr team has identified as known and ignorable.
Therefore, if their list is up-to-date (which would be a good policy, and hopefully, it's being maintained properly), my procedure will only identify the outstanding issues (ones that either the Solr team doesn't know about yet or ones that they've identified as problematic). Anybody should be able to run my two commands and come up with a current list of *outstanding *issues in any given version of Solr. It's not comforting to know that there are potentially 13 critical CVEs, even after excluding ignorable issues. On Mon, Oct 2, 2023 at 3:29 PM Ishan Chattopadhyaya < ichattopadhy...@gmail.com> wrote: > Is there any issue among those that has been known to be a vulnerability to > Solr? Often times, Solr uses multiple external dependencies that may have > vulnerabilities that can't be exploited through Solr, and those > vulnerabilities are of less concern to Solr in terms of urgency to address > it. > > On Mon, 2 Oct, 2023, 10:05 pm Jamie Jackson, <jamieja...@gmail.com> wrote: > > > Hello, > > > > Can anybody suggest a way to get some attention to these issues? I > thought > > this was the right place for CVE discussion but maybe I was wrong about > > that. > > > > Thanks, > > Jamie > > > > On Mon, Sep 18, 2023 at 1:30 PM Jamie Jackson <jamieja...@gmail.com> > > wrote: > > > > > Hello, > > > > > > If I'm understanding everything correctly, there are lingering > > > vulnerabilities in 8.11.2 dependencies. > > > > > > Total: 96 (UNKNOWN: 0, LOW: 9, MEDIUM: 48, HIGH: 26, CRITICAL: 13) > > > > > > If you have docker installed, you can run the following without > > installing > > > anything: > > > > > > # generate a list of CVEs to IGNORE, because Solr has deemed them > > > irrelevant > > > curl https://solr.apache.org/solr.vex.json | jq -r -c > > > '.vulnerabilities[]|select(.analysis.state == "not_affected") |.id' > > > > .solr.trivyignore > > > > > > # run a trivy scan on the image, and tell trivy to ignore the > > > aforementioned CVEs > > > docker run --rm -v /var/run/docker.sock:/var/run/docker.sock -v > > > /tmp/.trivy_cache:/root/.cache/trivy -v > > > $PWD/.solr.trivyignore:/.trivyignore aquasec/trivy image solr:8.11.2 > > > --scanners vuln --ignore-unfixed -f table > > > > > > Here's the output I get. (Sorry, wrapping will probably render it > > > illegible.) > > > > > > solr:8.11.2 (ubuntu 20.04) > > > ========================== > > > Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0) > > > > > > 2023-09-18T17:20:52.962Z INFO Table result includes only package > > > filenames. Use '--format json' option to get the full path to the > package > > > file. > > > > > > Java (jar) > > > ========== > > > Total: 96 (UNKNOWN: 0, LOW: 9, MEDIUM: 48, HIGH: 26, CRITICAL: 13) > > > > > > > > > > > > ┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ > > > │ Library │ > > > Vulnerability │ Severity │ Status │ Installed Version │ > > Fixed > > > Version │ Title > > > │ > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ com.fasterxml.jackson.core:jackson-databind │ > > > CVE-2022-42003 │ HIGH │ fixed │ 2.13.3 │ 2.12.7.1, > > > 2.13.4.1 │ deep wrapper array nesting wrt > > > UNWRAP_SINGLE_VALUE_ARRAYS │ > > > │ (jackson-databind-2.13.3.jar) │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-42003 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2022-42004 │ │ │ │ 2.12.7.1, > > > 2.13.4 │ use of deeply nested arrays > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-42004 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ com.fasterxml.jackson.core:jackson-databind │ > > > CVE-2018-11307 │ CRITICAL │ │ 2.4.0 │ 2.7.9.4, > > > 2.8.11.2, 2.9.6 │ jackson-databind: Potential information > > > exfiltration with │ > > > │ (htrace-core4-4.1.0-incubating.jar) │ > > > │ │ │ │ > > > │ default typing, serialization gadget from MyBatis > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2018-11307 > > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2018-14718 │ │ │ │ 2.6.7.2, > > > 2.9.7 │ jackson-databind: arbitrary code execution > in > > > slf4j-ext │ > > > │ │ > > > │ │ │ │ > > > │ class > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2018-14718 > > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2019-14893 │ │ │ │ 2.8.11.5, > > > 2.9.10 │ Serialization gadgets in classes of the > xalan > > > package │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2019-14893 > > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2019-16942 │ │ │ │ 2.9.10.1 > > > │ jackson-databind: Serialization gadgets in > > > │ > > > │ │ > > > │ │ │ │ > > > │ org.apache.commons.dbcp.datasources.* > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2019-16942 > > > │ > > > │ > > > ├─────────────────────┤ │ │ │ > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2019-16943 │ │ │ │ > > > │ jackson-databind: Serialization gadgets in > > > │ > > > │ │ > > > │ │ │ │ > > > │ com.p6spy.engine.spy.P6DataSource > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2019-16943 > > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2019-17267 │ │ │ │ 2.9.10 > > > │ Serialization gadgets in classes of the ehcache > > > package │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2019-17267 > > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2019-17531 │ │ │ │ 2.9.10.1 > > > │ jackson-databind: Serialization gadgets in > > > │ > > > │ │ > > > │ │ │ │ > > > │ org.apache.log4j.receivers.db.* > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2019-17531 > > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2019-20330 │ │ │ │ 2.8.11.5, > > > 2.9.10.2 │ jackson-databind: lacks certain > net.sf.ehcache > > > blocking │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2019-20330 > > > │ > > > │ > > > ├─────────────────────┼──────────┤ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2020-10650 │ HIGH │ │ │ 2.9.10.4 > > > │ A deserialization flaw was discovered in > > > jackson-databind │ > > > │ │ > > > │ │ │ │ > > > │ through 2.9. ... > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2020-10650 > > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2020-36518 │ │ │ │ 2.12.6.1, > > > 2.13.2.1 │ denial of service via a large depth of > nested > > > objects │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2020-36518 > > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2022-42003 │ │ │ │ 2.12.7.1, > > > 2.13.4.1 │ deep wrapper array nesting wrt > > > UNWRAP_SINGLE_VALUE_ARRAYS │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-42003 > > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2022-42004 │ │ │ │ 2.12.7.1, > > > 2.13.4 │ use of deeply nested arrays > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-42004 > > > │ > > > │ > > > ├─────────────────────┼──────────┤ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2018-1000873 │ MEDIUM │ │ │ 2.9.8 > > > │ jackson-modules-java8: DoS due to an Improper > > Input > > > │ > > > │ │ > > > │ │ │ │ > > > │ Validation > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2018-1000873 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ com.fasterxml.woodstox:woodstox-core │ > > > CVE-2022-40151 │ HIGH │ │ 6.2.4 │ 5.4.0, > > 6.4.0 > > > │ Xstream to serialise XML data was vulnerable to > > > Denial of │ > > > │ (woodstox-core-6.2.4.jar) │ > > > │ │ │ │ > > > │ Service attacks... > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-40151 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ > > > ├─────────────────────┤ │ │ │ > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2022-40152 │ │ │ │ > > > │ woodstox to serialise XML data was vulnerable to > > > Denial of │ > > > │ │ > > > │ │ │ │ > > > │ Service attacks... > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-40152 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > │ > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ com.google.code.gson:gson (gson-2.7.jar) │ > > > CVE-2022-25647 │ │ │ 2.7 │ 2.8.9 > > > │ Deserialization of Untrusted Data in > > > │ > > > │ │ > > > │ │ │ │ > > > │ com.google.code.gson-gson > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-25647 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > │ > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ com.google.guava:guava (junit4-ant-2.7.2.jar) │ > > > CVE-2023-2976 │ │ │ 25.0-jre │ 32.0.0 > > > │ insecure temporary directory creation > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-2976 > > > │ > > > │ > > > ├─────────────────────┼──────────┤ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2020-8908 │ LOW │ │ │ 30.0 > > > │ local information disclosure via temporary > > > directory created │ > > > │ │ > > > │ │ │ │ > > > │ with unsafe permissions > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2020-8908 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ com.google.guava:guava (guava-25.1-jre.jar) │ > > > CVE-2023-2976 │ HIGH │ │ 25.1-jre │ 32.0.0 > > > │ insecure temporary directory creation > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-2976 > > > │ > > > │ > > > ├─────────────────────┼──────────┤ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2020-8908 │ LOW │ │ │ 30.0 > > > │ local information disclosure via temporary > > > directory created │ > > > │ │ > > > │ │ │ │ > > > │ with unsafe permissions > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2020-8908 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ com.google.oauth-client:google-oauth-client │ > > > CVE-2021-22573 │ HIGH │ │ 1.32.1 │ 1.33.3 > > > │ Token signature not verified > > > │ > > > │ (google-oauth-client-1.32.1.jar) │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2021-22573 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ com.google.protobuf:protobuf-java (protobuf-java-3.11.0.jar) │ > > > CVE-2021-22570 │ MEDIUM │ │ 3.11.0 │ 3.15.0 > > > │ protobuf: Incorrect parsing of nullchar in the > > > proto symbol │ > > > │ │ > > > │ │ │ │ > > > │ leads to Nullptr... > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2021-22570 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > │ > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ io.netty:netty-common (netty-common-4.1.68.Final.jar) │ > > > CVE-2022-24823 │ │ │ 4.1.68.Final │ > > 4.1.77.Final > > > │ world readable temporary file containing > > sensitive > > > data │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-24823 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ io.netty:netty-handler (netty-handler-4.1.68.Final.jar) │ > > > CVE-2023-34462 │ │ │ │ > > 4.1.94.Final > > > │ SniHandler 16MB allocation leads to OOM > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-34462 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > │ > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.apache.ant:ant (ant-1.8.2.jar) │ > > > CVE-2020-1945 │ │ │ 1.8.2 │ 1.9.15, > > > 1.10.8 │ ant: insecure temporary file vulnerability > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2020-1945 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.apache.calcite.avatica:avatica-core │ > > > CVE-2022-36364 │ HIGH │ │ 1.18.0 │ 1.22.0 > > > │ Apache Calcite Avatica JDBC driver arbitrary > code > > > execution │ > > > │ (avatica-core-1.18.0.jar) │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-36364 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.apache.calcite:calcite-core (calcite-core-1.27.0.jar) │ > > > CVE-2022-39135 │ CRITICAL │ │ 1.27.0 │ 1.32.0 > > > │ XXE via SQL operators > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-39135 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > │ > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.apache.derby:derby (derby-10.9.1.0.jar) │ > > > CVE-2015-1832 │ │ │ 10.9.1.0 │ 10.12.1.1 > > > │ Apache Derby: XXE attack possible by using > XmlVTI > > > and the │ > > > │ │ > > > │ │ │ │ > > > │ XML datatype... > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2015-1832 > > > │ > > > │ > > > ├─────────────────────┼──────────┤ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2018-1313 │ MEDIUM │ │ │ 10.14.2.0 > > > │ derby: Externally-controlled input vulnerability > > > allows │ > > > │ │ > > > │ │ │ │ > > > │ remote attacker to boot a database under... > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2018-1313 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.apache.hadoop:hadoop-common (hadoop-common-3.2.2.jar) │ > > > CVE-2021-37404 │ CRITICAL │ │ 3.2.2 │ 3.2.3 > > > │ Heap buffer overflow in Apache Hadoop libhdfs > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2021-37404 > > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2022-26612 │ │ │ │ 3.2.3, > > 3.3.3 > > > │ Arbitrary file write in FileUtil#unpackEntries > on > > > Windows │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-26612 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.apache.poi:poi (poi-4.1.2.jar) │ > > > CVE-2022-26336 │ MEDIUM │ │ 4.1.2 │ 5.2.1 > > > │ A carefully crafted TNEF file can cause an out > of > > > memory │ > > > │ │ > > > │ │ │ │ > > > │ exception... > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-26336 > > > │ > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ │ │ > > > │ > > │ > > > │ org.apache.poi:poi-ooxml (poi-ooxml-4.1.2.jar) │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ │ │ > > > │ > > │ > > > │ org.apache.poi:poi-scratchpad (poi-scratchpad-4.1.2.jar) │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > │ > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.apache.tika:tika-core (tika-core-1.27.jar) │ > > > CVE-2022-30126 │ │ │ 1.27 │ 1.28.3, > > 2.4.0 > > > │ Regular Expression Denial of Service in > standards > > > extractor │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-30126 > > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2022-30973 │ │ │ │ 1.28.3 > > > │ tika-core: incomplete fix for CVE-2022-30126 > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-30973 > > > │ > > > │ > > > ├─────────────────────┼──────────┤ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2022-33879 │ LOW │ │ │ 1.28.4, > > 2.4.1 > > > │ The initial fixes in CVE-2022-30126 and > > > CVE-2022-30973 for │ > > > │ │ > > > │ │ │ │ > > > │ regexes in ...... > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-33879 > > > │ > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ │ │ > > > │ > > │ > > > │ org.apache.tika:tika-parsers (tika-parsers-1.27.jar) │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.bitbucket.b_c:jose4j (jose4j-0.6.5.jar) │ > > > GHSA-jgvc-jfgh-rjvv │ MEDIUM │ │ 0.6.5 │ 0.9.3 > > > │ Chosen Ciphertext Attack in Jose4j > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://github.com/advisories/GHSA-jgvc-jfgh-rjvv > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.eclipse.jetty.http2:http2-server │ > > > CVE-2022-2048 │ HIGH │ │ 9.4.44.v20210927 │ 9.4.47, > > > 10.0.10, 11.0.10 │ Invalid HTTP/2 requests cause DoS > > > │ > > > │ (http2-server-9.4.44.v20210927.jar) │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-2048 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.eclipse.jetty:jetty-client │ > > > CVE-2023-26048 │ MEDIUM │ │ │ > > > 9.4.51.v20230217, 10.0.14, 11.0.14 │ OutOfMemoryError for large > multipart > > > without filename read │ > > > │ (jetty-client-9.4.44.v20210927.jar) │ > > > │ │ │ │ > > > │ via request.getParameter() > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ > > > ├─────────────────────┤ │ │ │ > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2023-26049 │ │ │ │ > > > │ Cookie parsing of quoted values can exfiltrate > > > values from │ > > > │ │ > > > │ │ │ │ > > > │ other cookies > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > │ │ │ > > > ├──────────────────────────────────────────────────────────────┤ > > > │ org.eclipse.jetty:jetty-deploy │ > > > CVE-2023-26048 │ │ │ │ > > > │ OutOfMemoryError for large multipart without > > > filename read │ > > > │ (jetty-deploy-9.4.44.v20210927.jar) │ > > > │ │ │ │ > > > │ via request.getParameter() > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > │ > > > │ > > > ├─────────────────────┤ │ │ │ > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2023-26049 │ │ │ │ > > > │ Cookie parsing of quoted values can exfiltrate > > > values from │ > > > │ │ > > > │ │ │ │ > > > │ other cookies > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > │ │ │ > > > ├──────────────────────────────────────────────────────────────┤ > > > │ org.eclipse.jetty:jetty-http │ > > > CVE-2023-26048 │ │ │ │ > > > │ OutOfMemoryError for large multipart without > > > filename read │ > > > │ (jetty-http-9.4.44.v20210927.jar) │ > > > │ │ │ │ > > > │ via request.getParameter() > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ > > > ├─────────────────────┤ │ │ │ > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2023-26049 │ │ │ │ > > > │ Cookie parsing of quoted values can exfiltrate > > > values from │ > > > │ │ > > > │ │ │ │ > > > │ other cookies > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ > > > ├─────────────────────┤ │ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2023-40167 │ │ │ │ 9.4.52, > > > 10.0.16, 11.0.16, 12.0.1 │ Jetty is a Java based web server and > servlet > > > engine. Prior │ > > > │ │ > > > │ │ │ │ > > > │ to... > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-40167 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ > > > ├─────────────────────┼──────────┤ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2022-2047 │ LOW │ │ │ > > > 9.4.46.v20220331, 10.0.9, 11.0.10 │ improver hostname input handling > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-2047 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.eclipse.jetty:jetty-io (jetty-io-9.4.44.v20210927.jar) │ > > > CVE-2023-26048 │ MEDIUM │ │ │ > > > 9.4.51.v20230217, 10.0.14, 11.0.14 │ OutOfMemoryError for large > multipart > > > without filename read │ > > > │ │ > > > │ │ │ │ > > > │ via request.getParameter() > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ > > > ├─────────────────────┤ │ │ │ > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2023-26049 │ │ │ │ > > > │ Cookie parsing of quoted values can exfiltrate > > > values from │ > > > │ │ > > > │ │ │ │ > > > │ other cookies > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > │ │ │ > > > ├──────────────────────────────────────────────────────────────┤ > > > │ org.eclipse.jetty:jetty-server │ > > > CVE-2023-26048 │ │ │ │ > > > │ OutOfMemoryError for large multipart without > > > filename read │ > > > │ (jetty-server-9.4.44.v20210927.jar) │ > > > │ │ │ │ > > > │ via request.getParameter() > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > │ > > > │ > > > ├─────────────────────┤ │ │ │ > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2023-26049 │ │ │ │ > > > │ Cookie parsing of quoted values can exfiltrate > > > values from │ > > > │ │ > > > │ │ │ │ > > > │ other cookies > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > │ │ │ > > > ├──────────────────────────────────────────────────────────────┤ > > > │ org.eclipse.jetty:jetty-servlets │ > > > CVE-2023-26048 │ │ │ │ > > > │ OutOfMemoryError for large multipart without > > > filename read │ > > > │ (jetty-servlets-9.4.44.v20210927.jar) │ > > > │ │ │ │ > > > │ via request.getParameter() > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > │ > > > │ > > > ├─────────────────────┤ │ │ │ > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2023-26049 │ │ │ │ > > > │ Cookie parsing of quoted values can exfiltrate > > > values from │ > > > │ │ > > > │ │ │ │ > > > │ other cookies > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > │ > > > │ > > > ├─────────────────────┼──────────┤ │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2023-36479 │ LOW │ │ │ 9.4.52, > > > 10.0.16, 11.0.16 │ Jetty vulnerable to errant command quoting > > in > > > CGI Servlet │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-36479 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.eclipse.jetty:jetty-util │ > > > CVE-2023-26048 │ MEDIUM │ │ │ > > > 9.4.51.v20230217, 10.0.14, 11.0.14 │ OutOfMemoryError for large > multipart > > > without filename read │ > > > │ (jetty-util-9.4.44.v20210927.jar) │ > > > │ │ │ │ > > > │ via request.getParameter() > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ > > > ├─────────────────────┤ │ │ │ > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2023-26049 │ │ │ │ > > > │ Cookie parsing of quoted values can exfiltrate > > > values from │ > > > │ │ > > > │ │ │ │ > > > │ other cookies > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > │ │ │ > > > ├──────────────────────────────────────────────────────────────┤ > > > │ org.eclipse.jetty:jetty-webapp │ > > > CVE-2023-26048 │ │ │ │ > > > │ OutOfMemoryError for large multipart without > > > filename read │ > > > │ (jetty-webapp-9.4.44.v20210927.jar) │ > > > │ │ │ │ > > > │ via request.getParameter() > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > │ > > > │ > > > ├─────────────────────┤ │ │ │ > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2023-26049 │ │ │ │ > > > │ Cookie parsing of quoted values can exfiltrate > > > values from │ > > > │ │ > > > │ │ │ │ > > > │ other cookies > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > │ > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.eclipse.jetty:jetty-xml (jetty-xml-9.4.44.v20210927.jar) │ > > > GHSA-58qw-p7qm-5rvh │ LOW │ │ │ 10.0.16, > > > 11.0.16, 9.4.52, 12.0.0 │ Eclipse Jetty XmlParser allows arbitrary > > > DOCTYPE │ > > > │ │ > > > │ │ │ │ > > > │ declarations > > │ > > > │ │ > > > │ │ │ │ > > > │ https://github.com/advisories/GHSA-58qw-p7qm-5rvh > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.hsqldb:hsqldb (hsqldb-2.4.0.jar) │ > > > CVE-2022-41853 │ CRITICAL │ │ 2.4.0 │ 2.7.1 > > > │ Untrusted input may lead to RCE attack > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2022-41853 > > > │ > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > │ org.xerial.snappy:snappy-java (snappy-java-1.1.7.6.jar) │ > > > CVE-2023-34453 │ HIGH │ │ 1.1.7.6 │ 1.1.10.1 > > > │ Integer overflow in shuffle leads to DoS > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-34453 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ > > > ├─────────────────────┤ │ │ │ > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2023-34454 │ │ │ │ > > > │ Integer overflow in compress leads to DoS > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-34454 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ > > > ├─────────────────────┤ │ │ │ > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > │ │ > > > CVE-2023-34455 │ │ │ │ > > > │ Unchecked chunk length leads to DoS > > > │ > > > │ │ > > > │ │ │ │ > > > │ https://avd.aquasec.com/nvd/cve-2023-34455 > > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > │ │ > > > │ │ │ │ > > > │ > > │ > > > > > > > > > └──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴────────────────────────────────────┴──────────────────────────────────────────────────────────────┘ > > > > > >
