Thanks for the reply, Ishan. Once these make it into a docker image, I'll rescan.
On Mon, Oct 23, 2023 at 3:23 PM Ishan Chattopadhyaya < ichattopadhy...@gmail.com> wrote: > Thanks Jamie. I've upgraded some of these in branch_8_11. I didn't have a > Hadoop cluster handy, so wasn't able to upgrade the Hadoop dependency, > though. > My naive attempt to just increase the Hadoop library version resulted in > several failed tests that I wasn't able to debug. > > On Tue, 3 Oct 2023 at 01:33, Jamie Jackson <jamieja...@gmail.com> wrote: > > > The nice thing about the (repeatable) way that I've structured the scan > is > > that I'm automatically filtering *out* everything that the Solr team has > > identified as known and ignorable. > > > > Therefore, if their list is up-to-date (which would be a good policy, and > > hopefully, it's being maintained properly), my procedure will only > identify > > the outstanding issues (ones that either the Solr team doesn't know about > > yet or ones that they've identified as problematic). > > > > Anybody should be able to run my two commands and come up with a current > > list of *outstanding *issues in any given version of Solr. > > > > It's not comforting to know that there are potentially 13 critical CVEs, > > even after excluding ignorable issues. > > > > On Mon, Oct 2, 2023 at 3:29 PM Ishan Chattopadhyaya < > > ichattopadhy...@gmail.com> wrote: > > > > > Is there any issue among those that has been known to be a > vulnerability > > to > > > Solr? Often times, Solr uses multiple external dependencies that may > have > > > vulnerabilities that can't be exploited through Solr, and those > > > vulnerabilities are of less concern to Solr in terms of urgency to > > address > > > it. > > > > > > On Mon, 2 Oct, 2023, 10:05 pm Jamie Jackson, <jamieja...@gmail.com> > > wrote: > > > > > > > Hello, > > > > > > > > Can anybody suggest a way to get some attention to these issues? I > > > thought > > > > this was the right place for CVE discussion but maybe I was wrong > about > > > > that. > > > > > > > > Thanks, > > > > Jamie > > > > > > > > On Mon, Sep 18, 2023 at 1:30 PM Jamie Jackson <jamieja...@gmail.com> > > > > wrote: > > > > > > > > > Hello, > > > > > > > > > > If I'm understanding everything correctly, there are lingering > > > > > vulnerabilities in 8.11.2 dependencies. > > > > > > > > > > Total: 96 (UNKNOWN: 0, LOW: 9, MEDIUM: 48, HIGH: 26, CRITICAL: 13) > > > > > > > > > > If you have docker installed, you can run the following without > > > > installing > > > > > anything: > > > > > > > > > > # generate a list of CVEs to IGNORE, because Solr has deemed them > > > > > irrelevant > > > > > curl https://solr.apache.org/solr.vex.json | jq -r -c > > > > > '.vulnerabilities[]|select(.analysis.state == "not_affected") > |.id' > > > > > > .solr.trivyignore > > > > > > > > > > # run a trivy scan on the image, and tell trivy to ignore the > > > > > aforementioned CVEs > > > > > docker run --rm -v /var/run/docker.sock:/var/run/docker.sock -v > > > > > /tmp/.trivy_cache:/root/.cache/trivy -v > > > > > $PWD/.solr.trivyignore:/.trivyignore aquasec/trivy image > solr:8.11.2 > > > > > --scanners vuln --ignore-unfixed -f table > > > > > > > > > > Here's the output I get. (Sorry, wrapping will probably render it > > > > > illegible.) > > > > > > > > > > solr:8.11.2 (ubuntu 20.04) > > > > > ========================== > > > > > Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0) > > > > > > > > > > 2023-09-18T17:20:52.962Z INFO Table result includes only package > > > > > filenames. Use '--format json' option to get the full path to the > > > package > > > > > file. > > > > > > > > > > Java (jar) > > > > > ========== > > > > > Total: 96 (UNKNOWN: 0, LOW: 9, MEDIUM: 48, HIGH: 26, CRITICAL: 13) > > > > > > > > > > > > > > > > > > > > > > > > > ┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ > > > > > │ Library │ > > > > > Vulnerability │ Severity │ Status │ Installed Version │ > > > > Fixed > > > > > Version │ Title > > > > > │ > > > > > > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ com.fasterxml.jackson.core:jackson-databind │ > > > > > CVE-2022-42003 │ HIGH │ fixed │ 2.13.3 │ > > 2.12.7.1, > > > > > 2.13.4.1 │ deep wrapper array nesting wrt > > > > > UNWRAP_SINGLE_VALUE_ARRAYS │ > > > > > │ (jackson-databind-2.13.3.jar) │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-42003 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2022-42004 │ │ │ │ > > 2.12.7.1, > > > > > 2.13.4 │ use of deeply nested arrays > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-42004 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ com.fasterxml.jackson.core:jackson-databind │ > > > > > CVE-2018-11307 │ CRITICAL │ │ 2.4.0 │ > > 2.7.9.4, > > > > > 2.8.11.2, 2.9.6 │ jackson-databind: Potential information > > > > > exfiltration with │ > > > > > │ (htrace-core4-4.1.0-incubating.jar) │ > > > > > │ │ │ │ > > > > > │ default typing, serialization gadget from MyBatis > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2018-11307 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2018-14718 │ │ │ │ > > 2.6.7.2, > > > > > 2.9.7 │ jackson-databind: arbitrary code > > execution > > > in > > > > > slf4j-ext │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ class > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2018-14718 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2019-14893 │ │ │ │ > > 2.8.11.5, > > > > > 2.9.10 │ Serialization gadgets in classes of the > > > xalan > > > > > package │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2019-14893 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2019-16942 │ │ │ │ > > 2.9.10.1 > > > > > │ jackson-databind: Serialization gadgets in > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ org.apache.commons.dbcp.datasources.* > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2019-16942 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ │ > > > > > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2019-16943 │ │ │ │ > > > > > │ jackson-databind: Serialization gadgets in > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ com.p6spy.engine.spy.P6DataSource > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2019-16943 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2019-17267 │ │ │ │ > 2.9.10 > > > > > │ Serialization gadgets in classes of the > > ehcache > > > > > package │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2019-17267 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2019-17531 │ │ │ │ > > 2.9.10.1 > > > > > │ jackson-databind: Serialization gadgets in > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ org.apache.log4j.receivers.db.* > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2019-17531 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2019-20330 │ │ │ │ > > 2.8.11.5, > > > > > 2.9.10.2 │ jackson-databind: lacks certain > > > net.sf.ehcache > > > > > blocking │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2019-20330 > > > > > │ > > > > > │ > > > > > ├─────────────────────┼──────────┤ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2020-10650 │ HIGH │ │ │ > > 2.9.10.4 > > > > > │ A deserialization flaw was discovered in > > > > > jackson-databind │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ through 2.9. ... > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2020-10650 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2020-36518 │ │ │ │ > > 2.12.6.1, > > > > > 2.13.2.1 │ denial of service via a large depth of > > > nested > > > > > objects │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2020-36518 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2022-42003 │ │ │ │ > > 2.12.7.1, > > > > > 2.13.4.1 │ deep wrapper array nesting wrt > > > > > UNWRAP_SINGLE_VALUE_ARRAYS │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-42003 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2022-42004 │ │ │ │ > > 2.12.7.1, > > > > > 2.13.4 │ use of deeply nested arrays > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-42004 > > > > > │ > > > > > │ > > > > > ├─────────────────────┼──────────┤ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2018-1000873 │ MEDIUM │ │ │ 2.9.8 > > > > > │ jackson-modules-java8: DoS due to an > Improper > > > > Input > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ Validation > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2018-1000873 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ com.fasterxml.woodstox:woodstox-core │ > > > > > CVE-2022-40151 │ HIGH │ │ 6.2.4 │ > 5.4.0, > > > > 6.4.0 > > > > > │ Xstream to serialise XML data was > vulnerable > > to > > > > > Denial of │ > > > > > │ (woodstox-core-6.2.4.jar) │ > > > > > │ │ │ │ > > > > > │ Service attacks... > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-40151 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ │ > > > > > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2022-40152 │ │ │ │ > > > > > │ woodstox to serialise XML data was > vulnerable > > to > > > > > Denial of │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ Service attacks... > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-40152 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > > > │ > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ com.google.code.gson:gson (gson-2.7.jar) │ > > > > > CVE-2022-25647 │ │ │ 2.7 │ 2.8.9 > > > > > │ Deserialization of Untrusted Data in > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ com.google.code.gson-gson > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-25647 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > > > │ > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ com.google.guava:guava (junit4-ant-2.7.2.jar) │ > > > > > CVE-2023-2976 │ │ │ 25.0-jre │ > 32.0.0 > > > > > │ insecure temporary directory creation > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-2976 > > > > > │ > > > > > │ > > > > > ├─────────────────────┼──────────┤ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2020-8908 │ LOW │ │ │ 30.0 > > > > > │ local information disclosure via temporary > > > > > directory created │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ with unsafe permissions > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2020-8908 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ com.google.guava:guava (guava-25.1-jre.jar) │ > > > > > CVE-2023-2976 │ HIGH │ │ 25.1-jre │ > 32.0.0 > > > > > │ insecure temporary directory creation > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-2976 > > > > > │ > > > > > │ > > > > > ├─────────────────────┼──────────┤ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2020-8908 │ LOW │ │ │ 30.0 > > > > > │ local information disclosure via temporary > > > > > directory created │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ with unsafe permissions > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2020-8908 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ com.google.oauth-client:google-oauth-client │ > > > > > CVE-2021-22573 │ HIGH │ │ 1.32.1 │ > 1.33.3 > > > > > │ Token signature not verified > > > > > │ > > > > > │ (google-oauth-client-1.32.1.jar) │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2021-22573 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ com.google.protobuf:protobuf-java (protobuf-java-3.11.0.jar) │ > > > > > CVE-2021-22570 │ MEDIUM │ │ 3.11.0 │ > 3.15.0 > > > > > │ protobuf: Incorrect parsing of nullchar in > > the > > > > > proto symbol │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ leads to Nullptr... > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2021-22570 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > > > │ > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ io.netty:netty-common (netty-common-4.1.68.Final.jar) │ > > > > > CVE-2022-24823 │ │ │ 4.1.68.Final │ > > > > 4.1.77.Final > > > > > │ world readable temporary file containing > > > > sensitive > > > > > data │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-24823 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > > > │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ io.netty:netty-handler (netty-handler-4.1.68.Final.jar) │ > > > > > CVE-2023-34462 │ │ │ │ > > > > 4.1.94.Final > > > > > │ SniHandler 16MB allocation leads to OOM > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-34462 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > > > │ > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.apache.ant:ant (ant-1.8.2.jar) │ > > > > > CVE-2020-1945 │ │ │ 1.8.2 │ > 1.9.15, > > > > > 1.10.8 │ ant: insecure temporary file > > vulnerability > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2020-1945 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.apache.calcite.avatica:avatica-core │ > > > > > CVE-2022-36364 │ HIGH │ │ 1.18.0 │ > 1.22.0 > > > > > │ Apache Calcite Avatica JDBC driver > arbitrary > > > code > > > > > execution │ > > > > > │ (avatica-core-1.18.0.jar) │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-36364 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.apache.calcite:calcite-core (calcite-core-1.27.0.jar) │ > > > > > CVE-2022-39135 │ CRITICAL │ │ 1.27.0 │ > 1.32.0 > > > > > │ XXE via SQL operators > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-39135 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > > > │ > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.apache.derby:derby (derby-10.9.1.0.jar) │ > > > > > CVE-2015-1832 │ │ │ 10.9.1.0 │ > > 10.12.1.1 > > > > > │ Apache Derby: XXE attack possible by using > > > XmlVTI > > > > > and the │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ XML datatype... > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2015-1832 > > > > > │ > > > > > │ > > > > > ├─────────────────────┼──────────┤ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2018-1313 │ MEDIUM │ │ │ > > 10.14.2.0 > > > > > │ derby: Externally-controlled input > > vulnerability > > > > > allows │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ remote attacker to boot a database under... > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2018-1313 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.apache.hadoop:hadoop-common (hadoop-common-3.2.2.jar) │ > > > > > CVE-2021-37404 │ CRITICAL │ │ 3.2.2 │ 3.2.3 > > > > > │ Heap buffer overflow in Apache Hadoop > libhdfs > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2021-37404 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2022-26612 │ │ │ │ > 3.2.3, > > > > 3.3.3 > > > > > │ Arbitrary file write in > > FileUtil#unpackEntries > > > on > > > > > Windows │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-26612 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.apache.poi:poi (poi-4.1.2.jar) │ > > > > > CVE-2022-26336 │ MEDIUM │ │ 4.1.2 │ 5.2.1 > > > > > │ A carefully crafted TNEF file can cause an > out > > > of > > > > > memory │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ exception... > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-26336 > > > > > │ > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ org.apache.poi:poi-ooxml (poi-ooxml-4.1.2.jar) │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ org.apache.poi:poi-scratchpad (poi-scratchpad-4.1.2.jar) │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > > > │ > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.apache.tika:tika-core (tika-core-1.27.jar) │ > > > > > CVE-2022-30126 │ │ │ 1.27 │ > 1.28.3, > > > > 2.4.0 > > > > > │ Regular Expression Denial of Service in > > > standards > > > > > extractor │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-30126 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2022-30973 │ │ │ │ > 1.28.3 > > > > > │ tika-core: incomplete fix for > CVE-2022-30126 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-30973 > > > > > │ > > > > > │ > > > > > ├─────────────────────┼──────────┤ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2022-33879 │ LOW │ │ │ > 1.28.4, > > > > 2.4.1 > > > > > │ The initial fixes in CVE-2022-30126 and > > > > > CVE-2022-30973 for │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ regexes in ...... > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-33879 > > > > > │ > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ org.apache.tika:tika-parsers (tika-parsers-1.27.jar) │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.bitbucket.b_c:jose4j (jose4j-0.6.5.jar) │ > > > > > GHSA-jgvc-jfgh-rjvv │ MEDIUM │ │ 0.6.5 │ 0.9.3 > > > > > │ Chosen Ciphertext Attack in Jose4j > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://github.com/advisories/GHSA-jgvc-jfgh-rjvv > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.eclipse.jetty.http2:http2-server │ > > > > > CVE-2022-2048 │ HIGH │ │ 9.4.44.v20210927 │ > 9.4.47, > > > > > 10.0.10, 11.0.10 │ Invalid HTTP/2 requests cause DoS > > > > > │ > > > > > │ (http2-server-9.4.44.v20210927.jar) │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-2048 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.eclipse.jetty:jetty-client │ > > > > > CVE-2023-26048 │ MEDIUM │ │ │ > > > > > 9.4.51.v20230217, 10.0.14, 11.0.14 │ OutOfMemoryError for large > > > multipart > > > > > without filename read │ > > > > > │ (jetty-client-9.4.44.v20210927.jar) │ > > > > > │ │ │ │ > > > > > │ via request.getParameter() > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ │ > > > > > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2023-26049 │ │ │ │ > > > > > │ Cookie parsing of quoted values can > exfiltrate > > > > > values from │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ other cookies > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > > > │ │ │ > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ org.eclipse.jetty:jetty-deploy │ > > > > > CVE-2023-26048 │ │ │ │ > > > > > │ OutOfMemoryError for large multipart without > > > > > filename read │ > > > > > │ (jetty-deploy-9.4.44.v20210927.jar) │ > > > > > │ │ │ │ > > > > > │ via request.getParameter() > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ │ > > > > > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2023-26049 │ │ │ │ > > > > > │ Cookie parsing of quoted values can > exfiltrate > > > > > values from │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ other cookies > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > > > │ │ │ > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ org.eclipse.jetty:jetty-http │ > > > > > CVE-2023-26048 │ │ │ │ > > > > > │ OutOfMemoryError for large multipart without > > > > > filename read │ > > > > > │ (jetty-http-9.4.44.v20210927.jar) │ > > > > > │ │ │ │ > > > > > │ via request.getParameter() > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ │ > > > > > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2023-26049 │ │ │ │ > > > > > │ Cookie parsing of quoted values can > exfiltrate > > > > > values from │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ other cookies > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2023-40167 │ │ │ │ > 9.4.52, > > > > > 10.0.16, 11.0.16, 12.0.1 │ Jetty is a Java based web server and > > > servlet > > > > > engine. Prior │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ to... > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-40167 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ > > > > > ├─────────────────────┼──────────┤ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2022-2047 │ LOW │ │ │ > > > > > 9.4.46.v20220331, 10.0.9, 11.0.10 │ improver hostname input > handling > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-2047 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.eclipse.jetty:jetty-io (jetty-io-9.4.44.v20210927.jar) │ > > > > > CVE-2023-26048 │ MEDIUM │ │ │ > > > > > 9.4.51.v20230217, 10.0.14, 11.0.14 │ OutOfMemoryError for large > > > multipart > > > > > without filename read │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ via request.getParameter() > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ │ > > > > > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2023-26049 │ │ │ │ > > > > > │ Cookie parsing of quoted values can > exfiltrate > > > > > values from │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ other cookies > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > > > │ │ │ > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ org.eclipse.jetty:jetty-server │ > > > > > CVE-2023-26048 │ │ │ │ > > > > > │ OutOfMemoryError for large multipart without > > > > > filename read │ > > > > > │ (jetty-server-9.4.44.v20210927.jar) │ > > > > > │ │ │ │ > > > > > │ via request.getParameter() > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ │ > > > > > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2023-26049 │ │ │ │ > > > > > │ Cookie parsing of quoted values can > exfiltrate > > > > > values from │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ other cookies > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > > > │ │ │ > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ org.eclipse.jetty:jetty-servlets │ > > > > > CVE-2023-26048 │ │ │ │ > > > > > │ OutOfMemoryError for large multipart without > > > > > filename read │ > > > > > │ (jetty-servlets-9.4.44.v20210927.jar) │ > > > > > │ │ │ │ > > > > > │ via request.getParameter() > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ │ > > > > > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2023-26049 │ │ │ │ > > > > > │ Cookie parsing of quoted values can > exfiltrate > > > > > values from │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ other cookies > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > > > │ > > > > > │ > > > > > ├─────────────────────┼──────────┤ │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2023-36479 │ LOW │ │ │ > 9.4.52, > > > > > 10.0.16, 11.0.16 │ Jetty vulnerable to errant command > > quoting > > > > in > > > > > CGI Servlet │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-36479 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.eclipse.jetty:jetty-util │ > > > > > CVE-2023-26048 │ MEDIUM │ │ │ > > > > > 9.4.51.v20230217, 10.0.14, 11.0.14 │ OutOfMemoryError for large > > > multipart > > > > > without filename read │ > > > > > │ (jetty-util-9.4.44.v20210927.jar) │ > > > > > │ │ │ │ > > > > > │ via request.getParameter() > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ │ > > > > > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2023-26049 │ │ │ │ > > > > > │ Cookie parsing of quoted values can > exfiltrate > > > > > values from │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ other cookies > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┤ > > > > > │ │ │ > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ org.eclipse.jetty:jetty-webapp │ > > > > > CVE-2023-26048 │ │ │ │ > > > > > │ OutOfMemoryError for large multipart without > > > > > filename read │ > > > > > │ (jetty-webapp-9.4.44.v20210927.jar) │ > > > > > │ │ │ │ > > > > > │ via request.getParameter() > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26048 > > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ │ > > > > > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2023-26049 │ │ │ │ > > > > > │ Cookie parsing of quoted values can > exfiltrate > > > > > values from │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ other cookies > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-26049 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > │ > > > > > > > > > > > > > > > ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.eclipse.jetty:jetty-xml (jetty-xml-9.4.44.v20210927.jar) │ > > > > > GHSA-58qw-p7qm-5rvh │ LOW │ │ │ > > 10.0.16, > > > > > 11.0.16, 9.4.52, 12.0.0 │ Eclipse Jetty XmlParser allows > arbitrary > > > > > DOCTYPE │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ declarations > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://github.com/advisories/GHSA-58qw-p7qm-5rvh > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.hsqldb:hsqldb (hsqldb-2.4.0.jar) │ > > > > > CVE-2022-41853 │ CRITICAL │ │ 2.4.0 │ 2.7.1 > > > > > │ Untrusted input may lead to RCE attack > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2022-41853 > > > > > │ > > > > > > > > > > > > > > > ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ > > > > > > > > > > > > > > > > > > > > ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ > > > > > │ org.xerial.snappy:snappy-java (snappy-java-1.1.7.6.jar) │ > > > > > CVE-2023-34453 │ HIGH │ │ 1.1.7.6 │ > > 1.1.10.1 > > > > > │ Integer overflow in shuffle leads to DoS > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-34453 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ │ > > > > > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2023-34454 │ │ │ │ > > > > > │ Integer overflow in compress leads to DoS > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-34454 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ > > > > > ├─────────────────────┤ │ │ │ > > > > > > > > > > ├──────────────────────────────────────────────────────────────┤ > > > > > │ │ > > > > > CVE-2023-34455 │ │ │ │ > > > > > │ Unchecked chunk length leads to DoS > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ https://avd.aquasec.com/nvd/cve-2023-34455 > > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > │ │ > > > > > │ │ │ │ > > > > > │ > > > > │ > > > > > > > > > > > > > > > > > > > > └──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴────────────────────────────────────┴──────────────────────────────────────────────────────────────┘ > > > > > > > > > > > > > > >
