Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Vulnérabilité CVE #61

Open
borelsaffo opened this issue Jan 9, 2023 · 0 comments
Open

Vulnérabilité CVE #61

borelsaffo opened this issue Jan 9, 2023 · 0 comments

Comments

@borelsaffo
Copy link

https://www.youtube.com/watch?v=APNrOgrM5Ho&t=391s

How to solve this ? Need helps.
I build Docker MTS image on scrach but also have CVE log4-shell Log4j.. in the image

│ │ CVE-2019-12384 │ MEDIUM │ │ 2.7.9.6, 2.8.11.4, 2.9.9.1 │ jackson-databind: failure to block the logback-core class │
│ │ │ │ │ │ from polymorphic deserialization leading to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12384
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-12814 │ │ │ │ jackson-databind: polymorphic typing issue allows attacker │
│ │ │ │ │ │ to read arbitrary local files on... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12814
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-rpr3-cw39-3pxh │ UNKNOWN │ │ 2.9.10.4 │ jackson-databind before 2.9.10.4 vulnerable to unsafe │
│ │ │ │ │ │ deserialization │
│ │ │ │ │ │ GHSA-rpr3-cw39-3pxh
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (guava-21.0.jar) │ CVE-2018-10237 │ MEDIUM │ 21.0 │ 24.1.1-jre, 24.1.1-android │ guava: Unbounded memory allocation in AtomicDoubleArray and │
│ │ │ │ │ │ CompoundOrdering classes allow remote attackers... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-10237
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-8908 │ LOW │ │ 30.0 │ guava: local information disclosure via temporary directory │
│ │ │ │ │ │ created with unsafe permissions │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8908
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ junit:junit (junit-4.10.jar) │ CVE-2020-15250 │ MEDIUM │ 4.10 │ 4.13.1 │ junit4: TemporaryFolder is shared between all users across │
│ │ │ │ │ │ system which could result... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-15250
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ log4j:log4j (log4j-1.2.9.jar) │ CVE-2019-17571 │ CRITICAL │ 1.2.9 │ 2.0-alpha1 │ log4j: deserialization of untrusted data in SocketServer │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17571
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23305 │ │ │ │ log4j: SQL injection in Log4j 1.x when application is │
│ │ │ │ │ │ configured to use... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23305
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23302 │ HIGH │ │ │ log4j: Remote code execution in Log4j 1.x when application │
│ │ │ │ │ │ is configured to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23302
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23307 │ │ │ │ log4j: Unsafe deserialization flaw in Chainsaw log viewer │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23307
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-9488 │ LOW │ │ 2.13.2 │ log4j: improper validation of certificate with host mismatch │
│ │ │ │ │ │ in SMTP appender │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-9488
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ mysql:mysql-connector-java (mysql-connector-java-5.1.18.jar) │ CVE-2017-3523 │ HIGH │ 5.1.18 │ 5.1.41 │ mysql-connector-java: Improper automatic deserialization of │
│ │ │ │ │ │ binary data (CPU Apr 2017) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-3523
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-3258 │ │ │ 8.0.13 │ mysql-connector-java: Connector/J unspecified vulnerability │
│ │ │ │ │ │ (CPU October 2018) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-3258
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2015-2575 │ MEDIUM │ │ 5.1.35 │ mysql-connector-java: unspecified vulnerability related to │
│ │ │ │ │ │ Connector/J (CPU April 2015) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-2575
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-3586 │ │ │ 5.1.42 │ mysql-connector-java: Connector/J unspecified vulnerability │
│ │ │ │ │ │ (CPU Apr 2017) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-3586
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-2692 │ │ │ 8.0.16 │ mysql-connector-java: privilege escalation in MySQL │
│ │ │ │ │ │ connector │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-2692
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-2875 │ │ │ 5.1.49, 8.0.15 │ mysql-connector-java: allows unauthenticated attacker with │
│ │ │ │ │ │ network access via multiple protocols to compromise... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-2875
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-2934 │ │ │ 5.1.49, 8.0.20 │ mysql-connector-java: allows unauthenticated attacker with │
│ │ │ │ │ │ network access via multiple protocols to compromise... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-2934
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-21363 │ │ │ 8.0.28 │ mysql-connector-java: Difficult to exploit vulnerability │
│ │ │ │ │ │ allows high privileged attacker with network access... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21363
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-3589 │ LOW │ │ 5.1.42 │ mysql-connector-java: Connector/J unspecified vulnerability │
│ │ │ │ │ │ (CPU Apr 2017) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-3589
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-2933 │ │ │ 5.1.49 │ mysql-connector-java: allows high privileged attacker with │
│ │ │ │ │ │ network access via multiple protocols to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-2933
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ net.minidev:json-smart (json-smart-2.2.jar) │ CVE-2021-27568 │ CRITICAL │ 2.2 │ 1.3.2, 2.3.1, 2.4.1 │ json-smart: uncaught exception may lead to crash or │
│ │ │ │ │ │ information disclosure │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-27568
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-email (commons-email-1.3.2.jar) │ CVE-2017-9801 │ HIGH │ 1.3.2 │ 1.5 │ Improper Input Validation in Apache Commons Email │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-9801
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-1294 │ │ │ │ Improper Input Validation Apache Commons Email │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1294
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.logging.log4j:log4j-api (log4j-api-2.12.1.jar) │ CVE-2021-44832 │ MEDIUM │ 2.12.1 │ 2.17.1 │ log4j-core: remote code execution via JDBC Appender │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44832
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-45105 │ │ │ 2.12.3, 2.17.0 │ log4j-core: DoS in log4j 2.x with Thread Context Map (MDC) │
│ │ │ │ │ │ input data... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-45105
├──────────────────────────────────────────────────────────────┼─────────────────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.groovy:groovy-all (groovy-all-2.4.7.jar) │ CVE-2020-17521 │ │ 2.4.7 │ 2.4.21, 2.5.14, 3.0.7 │ groovy: OS temporary directory leads to information │
│ │ │ │ │ │ disclosure │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-17521
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.dom4j:dom4j (dom4j-2.1.0.jar) │ CVE-2020-10683 │ CRITICAL │ 2.1.0 │ 2.0.3, 2.1.3 │ dom4j: XML External Entity vulnerability in default SAX │
│ │ │ │ │ │ parser │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10683
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-1000632 │ HIGH │ │ 2.0.3, 2.1.1 │ dom4j: XML Injection in Class: Element. Methods: addElement, │
│ │ │ │ │ │ addAttribute which can impact... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1000632
├──────────────────────────────────────────────────────────────┼─────────────────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (snakeyaml-1.23.jar) │ CVE-2017-18640 │ │ 1.23 │ 1.26 │ snakeyaml: Billion laughs attack via alias feature │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-18640
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-25857 │ │ │ 1.31 │ snakeyaml: Denial of Service due missing to nested depth │
│ │ │ │ │ │ limitation for... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25857
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-38749 │ MEDIUM │ │ │ Using snakeYAML to parse untrusted YAML files may be │
│ │ │ │ │ │ vulnerable to Den... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-38749
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-38752 │ │ │ 1.32 │ Using snakeYAML to parse untrusted YAML files may be │
│ │ │ │ │ │ vulnerable to Den... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-38752
└──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴───────────────────┴─────────────────────────────┴──────────────────────────────────────────────────────────────┘
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@borelsaffo