docker build -t fr .docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
aquasec/trivy \
image fr --ignore-unfixed -f table \
> fr_trivy.txt
Last active
May 15, 2023 15:38
-
-
Save jamiejackson/9927836b8af80cc595c5c85a3de42175 to your computer and use it in GitHub Desktop.
FusionReactor 9.2.2 Security Vulnerabilities
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| FROM alpine as builder | |
| RUN apk add curl | |
| RUN mkdir -p /opt/fusionreactor /opt/fusionreactor/conf \ | |
| && cd /opt/fusionreactor \ | |
| && curl -O https://download.fusionreactor.io/FR/FusionReactor-9.2.2/fusionreactor.jar \ | |
| && curl -O https://download.fusionreactor.io/FR/FusionReactor-9.2.2/libfrjvmti_x64.so | |
| FROM scratch | |
| COPY --from=builder /opt/fusionreactor/* / |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Java (jar) | |
| ========== | |
| Total: 60 (UNKNOWN: 1, LOW: 1, MEDIUM: 15, HIGH: 17, CRITICAL: 26) | |
| ┌──────────────────────────────────────────────────────────┬─────────────────────┬──────────┬───────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐ | |
| │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ | |
| ├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ com.fasterxml.jackson.core:jackson-databind │ CVE-2017-15095 │ CRITICAL │ 2.6.6 │ 2.7.9.2, 2.8.10, 2.9.1 │ jackson-databind: Unsafe deserialization due to incomplete │ | |
| │ (fusionreactor.jar) │ │ │ │ │ black list (incomplete fix for CVE-2017-7525)... │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-15095 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2017-7525 │ │ │ 2.6.7.1, 2.7.9.1, 2.8.9 │ jackson-databind: Deserialization vulnerability via │ | |
| │ │ │ │ │ │ readValue method of ObjectMapper │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-7525 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2018-11307 │ │ │ 2.7.9.4, 2.8.11.2, 2.9.6 │ jackson-databind: Potential information exfiltration with │ | |
| │ │ │ │ │ │ default typing, serialization gadget from MyBatis │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-11307 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2018-14718 │ │ │ 2.6.7.2, 2.9.7 │ jackson-databind: arbitrary code execution in slf4j-ext │ | |
| │ │ │ │ │ │ class │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14718 │ | |
| │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2018-14719 │ │ │ │ jackson-databind: arbitrary code execution in blaze-ds-opt │ | |
| │ │ │ │ │ │ and blaze-ds-core classes │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14719 │ | |
| │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2018-14720 │ │ │ │ jackson-databind: exfiltration/XXE in some JDK classes │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14720 │ | |
| │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2018-14721 │ │ │ │ jackson-databind: server-side request forgery (SSRF) in │ | |
| │ │ │ │ │ │ axis2-jaxws class │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14721 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2018-19360 │ │ │ 2.6.7.3, 2.7.9.5, 2.8.11.3, 2.9.8 │ jackson-databind: improper polymorphic deserialization in │ | |
| │ │ │ │ │ │ axis2-transport-jms class │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-19360 │ | |
| │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2018-19361 │ │ │ │ jackson-databind: improper polymorphic deserialization in │ | |
| │ │ │ │ │ │ openjpa class │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-19361 │ | |
| │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2018-19362 │ │ │ │ jackson-databind: improper polymorphic deserialization in │ | |
| │ │ │ │ │ │ jboss-common-core class │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-19362 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2018-7489 │ │ │ 2.7.9.3, 2.8.11.1, 2.9.5 │ jackson-databind: incomplete fix for CVE-2017-7525 permits │ | |
| │ │ │ │ │ │ unsafe serialization via c3p0 libraries │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-7489 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2019-14540 │ │ │ 2.9.10 │ jackson-databind: Serialization gadgets in │ | |
| │ │ │ │ │ │ com.zaxxer.hikari.HikariConfig │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14540 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2019-14893 │ │ │ 2.8.11.5, 2.9.10 │ jackson-databind: Serialization gadgets in classes of the │ | |
| │ │ │ │ │ │ xalan package │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14893 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2019-16335 │ │ │ 2.9.10 │ jackson-databind: Serialization gadgets in │ | |
| │ │ │ │ │ │ com.zaxxer.hikari.HikariDataSource │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16335 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2019-16942 │ │ │ 2.9.10.1 │ jackson-databind: Serialization gadgets in │ | |
| │ │ │ │ │ │ org.apache.commons.dbcp.datasources.* │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16942 │ | |
| │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2019-16943 │ │ │ │ jackson-databind: Serialization gadgets in │ | |
| │ │ │ │ │ │ com.p6spy.engine.spy.P6DataSource │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16943 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2019-17267 │ │ │ 2.9.10 │ jackson-databind: Serialization gadgets in classes of the │ | |
| │ │ │ │ │ │ ehcache package │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17267 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2019-17531 │ │ │ 2.9.10.1 │ jackson-databind: Serialization gadgets in │ | |
| │ │ │ │ │ │ org.apache.log4j.receivers.db.* │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17531 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2019-20330 │ │ │ 2.8.11.5, 2.9.10.2 │ jackson-databind: lacks certain net.sf.ehcache blocking │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20330 │ | |
| │ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2018-5968 │ HIGH │ │ 2.7.9.5, 2.8.11.1, 2.9.4 │ jackson-databind: unsafe deserialization due to incomplete │ | |
| │ │ │ │ │ │ blacklist (incomplete fix for CVE-2017-7525 and... │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5968 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2020-10650 │ │ │ 2.9.10.4 │ A deserialization flaw was discovered in jackson-databind │ | |
| │ │ │ │ │ │ through 2.9. ... │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10650 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2020-10673 │ │ │ 2.6.7.4, 2.9.10.4 │ jackson-databind: mishandles the interaction between │ | |
| │ │ │ │ │ │ serialization gadgets and typing which could result... │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10673 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2020-25649 │ │ │ 2.6.7.4, 2.9.10.7, 2.10.5.1 │ jackson-databind: FasterXML DOMDeserializer insecure entity │ | |
| │ │ │ │ │ │ expansion is vulnerable to XML external entity... │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-25649 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2020-35490 │ │ │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │ | |
| │ │ │ │ │ │ serialization gadgets and typing, related to │ | |
| │ │ │ │ │ │ org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.- │ | |
| │ │ │ │ │ │ .. │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35490 │ | |
| │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2020-35491 │ │ │ │ jackson-databind: mishandles the interaction between │ | |
| │ │ │ │ │ │ serialization gadgets and typing, related to │ | |
| │ │ │ │ │ │ org.apache.commons.dbcp2.datasources.SharedPoolDataSource... │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35491 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2020-36518 │ │ │ 2.12.6.1, 2.13.2.1 │ denial of service via a large depth of nested objects │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36518 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2022-42003 │ │ │ 2.12.7.1, 2.13.4.1 │ deep wrapper array nesting wrt UNWRAP_SINGLE_VALUE_ARRAYS │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-42003 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2022-42004 │ │ │ 2.12.7.1, 2.13.4 │ use of deeply nested arrays │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-42004 │ | |
| │ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2018-1000873 │ MEDIUM │ │ 2.9.8 │ jackson-modules-java8: DoS due to an Improper Input │ | |
| │ │ │ │ │ │ Validation │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1000873 │ | |
| │ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ GHSA-rpr3-cw39-3pxh │ UNKNOWN │ │ 2.9.10.4 │ jackson-databind before 2.9.10.4 vulnerable to unsafe │ | |
| │ │ │ │ │ │ deserialization │ | |
| │ │ │ │ │ │ https://github.com/advisories/GHSA-rpr3-cw39-3pxh │ | |
| ├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ com.fasterxml.jackson.dataformat:jackson-dataformat-cbor │ CVE-2020-28491 │ HIGH │ │ 2.11.4, 2.12.1 │ jackson-dataformat-cbor: Unchecked allocation of byte buffer │ | |
| │ (fusionreactor.jar) │ │ │ │ │ can cause a java.lang.OutOfMemoryError exception... │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-28491 │ | |
| ├──────────────────────────────────────────────────────────┼─────────────────────┤ ├───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ com.google.code.gson:gson (fusionreactor.jar) │ CVE-2022-25647 │ │ 2.3.1 │ 2.8.9 │ Deserialization of Untrusted Data in │ | |
| │ │ │ │ │ │ com.google.code.gson-gson │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25647 │ | |
| ├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ com.google.guava:guava (fusionreactor.jar) │ CVE-2018-10237 │ MEDIUM │ 19.0 │ 24.1.1-jre, 24.1.1-android │ guava: Unbounded memory allocation in AtomicDoubleArray and │ | |
| │ │ │ │ │ │ CompoundOrdering classes allow remote attackers... │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-10237 │ | |
| │ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2020-8908 │ LOW │ │ 30.0 │ guava: local information disclosure via temporary directory │ | |
| │ │ │ │ │ │ created with unsafe permissions │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8908 │ | |
| ├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ com.google.protobuf:protobuf-java (fusionreactor.jar) │ CVE-2022-3171 │ HIGH │ 3.15.4 │ 3.16.3, 3.19.6, 3.20.3, 3.21.7 │ timeout in parser leads to DoS │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3171 │ | |
| │ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2021-22569 │ MEDIUM │ │ 3.16.1, 3.18.2, 3.19.2 │ protobuf-java: potential DoS in the parsing procedure for │ | |
| │ │ │ │ │ │ binary data │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22569 │ | |
| ├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ com.unboundid:unboundid-ldapsdk (fusionreactor.jar) │ CVE-2018-1000134 │ CRITICAL │ 3.2.1 │ 4.0.5 │ unboundid-ldapsdk: Incorrect Access Control vulnerability in │ | |
| │ │ │ │ │ │ process function in SimpleBindRequest class │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1000134 │ | |
| ├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ io.netty:netty-codec (fusionreactor.jar) │ CVE-2020-11612 │ HIGH │ 4.1.36.Final │ 4.1.46.Final │ netty: compression/decompression codecs don't enforce limits │ | |
| │ │ │ │ │ │ on buffer allocation sizes │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11612 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2021-37136 │ │ │ 4.1.68 │ netty-codec: Bzip2Decoder doesn't allow setting size │ | |
| │ │ │ │ │ │ restrictions for decompressed data │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37136 │ | |
| │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2021-37137 │ │ │ │ netty-codec: SnappyFrameDecoder doesn't restrict chunk │ | |
| │ │ │ │ │ │ length and may buffer skippable chunks in... │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37137 │ | |
| │ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2021-21290 │ MEDIUM │ │ 4.1.59.Final │ netty: Information disclosure via the local system temporary │ | |
| │ │ │ │ │ │ directory │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21290 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2021-21409 │ │ │ 4.1.61.Final │ netty: Request smuggling via content-length header │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21409 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2022-24823 │ │ │ 4.1.77.Final │ netty: world readable temporary file containing sensitive │ | |
| │ │ │ │ │ │ data │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24823 │ | |
| ├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ io.netty:netty-codec-http (fusionreactor.jar) │ CVE-2019-20444 │ CRITICAL │ │ 4.1.44.Final │ netty: HTTP request smuggling │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20444 │ | |
| │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2019-20445 │ │ │ │ netty: HttpObjectDecoder.java allows Content-Length header │ | |
| │ │ │ │ │ │ to accompanied by second Content-Length header │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20445 │ | |
| │ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2019-16869 │ HIGH │ │ 4.1.42.Final │ netty: HTTP request smuggling by mishandled whitespace │ | |
| │ │ │ │ │ │ before the colon in HTTP... │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16869 │ | |
| │ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2021-21290 │ MEDIUM │ │ 4.1.59.Final │ netty: Information disclosure via the local system temporary │ | |
| │ │ │ │ │ │ directory │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21290 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2021-21409 │ │ │ 4.1.61.Final │ netty: Request smuggling via content-length header │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21409 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2021-43797 │ │ │ 4.1.71 │ netty: control chars in header names may lead to HTTP │ | |
| │ │ │ │ │ │ request smuggling... │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-43797 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2022-24823 │ │ │ 4.1.77.Final │ netty: world readable temporary file containing sensitive │ | |
| │ │ │ │ │ │ data │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24823 │ | |
| ├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ io.netty:netty-handler (fusionreactor.jar) │ CVE-2019-20444 │ CRITICAL │ │ 4.1.44 │ netty: HTTP request smuggling │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20444 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2019-20445 │ │ │ 4.1.45 │ netty: HttpObjectDecoder.java allows Content-Length header │ | |
| │ │ │ │ │ │ to accompanied by second Content-Length header │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20445 │ | |
| │ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2020-11612 │ HIGH │ │ 4.1.46 │ netty: compression/decompression codecs don't enforce limits │ | |
| │ │ │ │ │ │ on buffer allocation sizes │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11612 │ | |
| │ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2021-21290 │ MEDIUM │ │ 4.1.59.Final │ netty: Information disclosure via the local system temporary │ | |
| │ │ │ │ │ │ directory │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21290 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2021-21409 │ │ │ 4.1.61.Final │ netty: Request smuggling via content-length header │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21409 │ | |
| │ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2022-24823 │ │ │ 4.1.77.Final │ netty: world readable temporary file containing sensitive │ | |
| │ │ │ │ │ │ data │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24823 │ | |
| ├──────────────────────────────────────────────────────────┼─────────────────────┤ ├───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ org.apache.httpcomponents:httpclient (fusionreactor.jar) │ CVE-2020-13956 │ │ 4.5.2 │ 4.5.13 │ apache-httpclient: incorrect handling of malformed authority │ | |
| │ │ │ │ │ │ component in request URIs │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13956 │ | |
| ├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ org.codehaus.groovy:groovy (fusionreactor.jar) │ CVE-2015-3253 │ CRITICAL │ 2.2.2 │ 2.4.4 │ groovy: remote execution of untrusted code in class │ | |
| │ │ │ │ │ │ MethodClosure │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-3253 │ | |
| │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2016-6814 │ │ │ │ Apache Groovy: Remote code execution via deserialization │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-6814 │ | |
| │ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ | |
| │ │ CVE-2020-17521 │ MEDIUM │ │ 2.4.21, 2.5.14, 3.0.7 │ groovy: OS temporary directory leads to information │ | |
| │ │ │ │ │ │ disclosure │ | |
| │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-17521 │ | |
| └──────────────────────────────────────────────────────────┴─────────────────────┴──────────┴───────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘ |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment