Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

List of CRIT CVEs for Explorer/OntSynHandler #329

Open
vbonini opened this issue Sep 22, 2023 · 0 comments
Open

List of CRIT CVEs for Explorer/OntSynHandler #329

vbonini opened this issue Sep 22, 2023 · 0 comments

Comments

@vbonini
Copy link

vbonini commented Sep 22, 2023

Below is a list of CRIT CVEs for Explorer/OntSynHandler services. Most can be rectified by specifying fixed dep versions in a custom pom.xml file, but unfortunately not org.springframework:spring-web nor org.yaml:snakeyaml. Those two either wont build or wont run with the fixed version specified.

Here is the full list.

Explorer

Total: 38 (CRITICAL: 38)
┌─────────────────────────────────────────────────────────────┬──────────────────┬──────────┬────────┬───────────────────┬────────────────────────────────────────────┬─────────────────────────────────────────────────────────────┐
│                           Library                           │  Vulnerability   │ Severity │ Status │ Installed Version │               Fixed Version                │                            Title                            │
├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┼────────┼───────────────────┼────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ com.alibaba:fastjson (app.jar)                              │ CVE-2022-25845   │ CRITICAL │ fixed  │ 1.2.31            │ 1.2.83                                     │ fastjson: autoType shutdown restriction bypass leads to     │
│                                                             │                  │          │        │                   │                                            │ deserialization                                             │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2022-25845                  │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind (app.jar)       │ CVE-2018-14718   │          │        │ 2.9.6             │ 2.6.7.2, 2.9.7                             │ jackson-databind: arbitrary code execution in slf4j-ext     │
│                                                             │                  │          │        │                   │                                            │ class                                                       │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2018-14718                  │
│                                                             ├──────────────────┤          │        │                   │                                            ├─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2018-14719   │          │        │                   │                                            │ jackson-databind: arbitrary code execution in blaze-ds-opt  │
│                                                             │                  │          │        │                   │                                            │ and blaze-ds-core classes                                   │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2018-14719                  │
│                                                             ├──────────────────┤          │        │                   │                                            ├─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2018-14720   │          │        │                   │                                            │ jackson-databind: exfiltration/XXE in some JDK classes      │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2018-14720                  │
│                                                             ├──────────────────┤          │        │                   │                                            ├─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2018-14721   │          │        │                   │                                            │ jackson-databind: server-side request forgery (SSRF) in     │
│                                                             │                  │          │        │                   │                                            │ axis2-jaxws class                                           │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2018-14721                  │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2018-19360   │          │        │                   │ 2.6.7.3, 2.7.9.5, 2.8.11.3, 2.9.8          │ jackson-databind: improper polymorphic deserialization in   │
│                                                             │                  │          │        │                   │                                            │ axis2-transport-jms class                                   │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2018-19360                  │
│                                                             ├──────────────────┤          │        │                   │                                            ├─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2018-19361   │          │        │                   │                                            │ jackson-databind: improper polymorphic deserialization in   │
│                                                             │                  │          │        │                   │                                            │ openjpa class                                               │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2018-19361                  │
│                                                             ├──────────────────┤          │        │                   │                                            ├─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2018-19362   │          │        │                   │                                            │ jackson-databind: improper polymorphic deserialization in   │
│                                                             │                  │          │        │                   │                                            │ jboss-common-core class                                     │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2018-19362                  │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2019-14379   │          │        │                   │ 2.7.9.6, 2.8.11.4, 2.9.9.2                 │ default typing mishandling leading to remote code execution │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-14379                  │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2019-14540   │          │        │                   │ 2.9.10                                     │ Serialization gadgets in com.zaxxer.hikari.HikariConfig     │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-14540                  │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2019-14892   │          │        │                   │ 2.6.7.3, 2.8.11.5, 2.9.10                  │ Serialization gadgets in classes of the                     │
│                                                             │                  │          │        │                   │                                            │ commons-configuration package                               │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-14892                  │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2019-14893   │          │        │                   │ 2.8.11.5, 2.9.10                           │ Serialization gadgets in classes of the xalan package       │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-14893                  │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2019-16335   │          │        │                   │ 2.9.10                                     │ Serialization gadgets in com.zaxxer.hikari.HikariDataSource │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-16335                  │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2019-16942   │          │        │                   │ 2.9.10.1                                   │ jackson-databind: Serialization gadgets in                  │
│                                                             │                  │          │        │                   │                                            │ org.apache.commons.dbcp.datasources.*                       │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-16942                  │
│                                                             ├──────────────────┤          │        │                   │                                            ├─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2019-16943   │          │        │                   │                                            │ jackson-databind: Serialization gadgets in                  │
│                                                             │                  │          │        │                   │                                            │ com.p6spy.engine.spy.P6DataSource                           │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-16943                  │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2019-17267   │          │        │                   │ 2.9.10                                     │ Serialization gadgets in classes of the ehcache package     │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-17267                  │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2019-17531   │          │        │                   │ 2.9.10.1                                   │ jackson-databind: Serialization gadgets in                  │
│                                                             │                  │          │        │                   │                                            │ org.apache.log4j.receivers.db.*                             │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-17531                  │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2019-20330   │          │        │                   │ 2.8.11.5, 2.9.10.2                         │ jackson-databind: lacks certain net.sf.ehcache blocking     │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-20330                  │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2020-8840    │          │        │                   │ 2.7.9.7, 2.8.11.5, 2.9.10.3                │ jackson-databind: Lacks certain xbean-reflect/JNDI blocking │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2020-8840                   │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2020-9546    │          │        │                   │ 2.7.9.7, 2.8.11.6, 2.9.10.4                │ jackson-databind: Serialization gadgets in                  │
│                                                             │                  │          │        │                   │                                            │ shaded-hikari-config                                        │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2020-9546                   │
│                                                             ├──────────────────┤          │        │                   │                                            ├─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2020-9547    │          │        │                   │                                            │ jackson-databind: Serialization gadgets in ibatis-sqlmap    │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2020-9547                   │
│                                                             ├──────────────────┤          │        │                   │                                            ├─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2020-9548    │          │        │                   │                                            │ jackson-databind: Serialization gadgets in anteros-core     │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2020-9548                   │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ com.github.pagehelper:pagehelper (app.jar)                  │ CVE-2022-28111   │          │        │ 5.1.8             │ 5.3.1                                      │ MyBatis PageHelper vulnerable to time-blind SQL injection   │
│                                                             │                  │          │        │                   │                                            │ via orderBy parameter                                       │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2022-28111                  │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ io.netty:netty-handler (app.jar)                            │ CVE-2019-20444   │          │        │ 4.1.25.Final      │ 4.1.44                                     │ netty: HTTP request smuggling                               │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-20444                  │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2019-20445   │          │        │                   │ 4.1.45                                     │ netty: HttpObjectDecoder.java allows Content-Length header  │
│                                                             │                  │          │        │                   │                                            │ to accompanied by second Content-Length header              │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-20445                  │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ io.springfox:springfox-swagger-ui (app.jar)                 │ CVE-2019-17495   │          │        │ 2.9.2             │ 2.10.0                                     │ Cross-site scripting in Swagger-UI                          │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-17495                  │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.apache.tomcat.embed:tomcat-embed-core (app.jar)         │ CVE-2018-8014    │          │        │ 8.5.31            │ 9.0.9, 9.0.9, 9.0.9, 9.0.9, 8.0.53, 7.0.88 │ tomcat: Insecure defaults in CORS filter enable             │
│                                                             │                  │          │        │                   │                                            │ 'supportsCredentials' for all origins                       │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2018-8014                   │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2020-1745    │          │        │                   │ 7.0.100, 8.5.51, 9.0.31                    │ AJP File Read/Inclusion Vulnerability                       │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2020-1745                   │
│                                                             ├──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2020-1938    │          │        │                   │ 9.0.31, 9.0.31, 9.0.31, 7.0.100            │ Apache Tomcat AJP File Read/Inclusion Vulnerability         │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2020-1938                   │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk15on (app.jar)                   │ CVE-2018-1000613 │          │        │ 1.59              │ 1.60                                       │ bouncycastle: lack of class checking in deserialization of  │
│                                                             │                  │          │        │                   │                                            │ XMSS/XMSS^MT private keys with...                           │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2018-1000613                │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.mybatis:mybatis (app.jar)                               │ CVE-2023-25330   │          │        │ 3.4.6             │ 3.5.4                                      │ MyBatis-Plus vulnerable to SQL injection via TenantPlugin   │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2023-25330                  │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.springframework.boot:spring-boot-actuator-autoconfigure │ CVE-2023-20873   │          │        │ 2.0.3.RELEASE     │ 2.7.11, 3.0.6                              │ Security Bypass With Wildcard Pattern Matching on Cloud     │
│ (app.jar)                                                   │                  │          │        │                   │                                            │ Foundry                                                     │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2023-20873                  │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.springframework.boot:spring-boot-starter-web (app.jar)  │ CVE-2022-22965   │          │        │                   │ 2.5.12, 2.6.6                              │ RCE via Data Binding on JDK 9+                              │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2022-22965                  │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.springframework.ws:spring-xml (app.jar)                 │ CVE-2019-3773    │          │        │ 3.0.1.RELEASE     │ 2.4.4, 3.0.6                               │ spring-ws: XML External Entity Injection (XXE) when         │
│                                                             │                  │          │        │                   │                                            │ receiving XML data from untrusted...                        │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2019-3773                   │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.springframework:spring-beans (app.jar)                  │ CVE-2022-22965   │          │        │ 5.0.7.RELEASE     │ 5.2.20, 5.3.18                             │ RCE via Data Binding on JDK 9+                              │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2022-22965                  │
├─────────────────────────────────────────────────────────────┤                  │          │        │                   │                                            │                                                             │
│ org.springframework:spring-core (app.jar)                   │                  │          │        │                   │                                            │                                                             │
│                                                             │                  │          │        │                   │                                            │                                                             │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        │                   ├────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.springframework:spring-web (app.jar)                    │ CVE-2016-1000027 │          │        │                   │ 6.0.0                                      │ spring: HttpInvokerServiceExporter readRemoteInvocation     │
│                                                             │                  │          │        │                   │                                            │ method untrusted java deserialization                       │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2016-1000027                │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (app.jar)                                │ CVE-2022-[1471](https://gitlab.exodus-services.io/indexers/ontology/-/jobs/1589739#L1471)    │          │        │ 1.19              │ 2.0                                        │ Constructor Deserialization Remote Code Execution           │
│                                                             │                  │          │        │                   │                                            │ https://avd.aquasec.com/nvd/cve-2022-1471                   │
└─────────────────────────────────────────────────────────────┴──────────────────┴──────────┴────────┴───────────────────┴────────────────────────────────────────────┴─────────────────────────────────────────────────────────────┘

OntSynHandler

Total: 9 (CRITICAL: 9)
┌─────────────────────────────────────────────────────────────┬──────────────────┬──────────┬────────┬───────────────────┬────────────────┬────────────────────────────────────────────────────────────┐
│                           Library                           │  Vulnerability   │ Severity │ Status │ Installed Version │ Fixed Version  │                           Title                            │
├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┼────────┼───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ io.springfox:springfox-swagger-ui (app.jar)                 │ CVE-2019-17495   │ CRITICAL │ fixed  │ 2.9.2             │ 2.10.0         │ Cross-site scripting in Swagger-UI                         │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2019-17495                 │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk15on (app.jar)                   │ CVE-2018-1000613 │          │        │ 1.59              │ 1.60           │ bouncycastle: lack of class checking in deserialization of │
│                                                             │                  │          │        │                   │                │ XMSS/XMSS^MT private keys with...                          │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2018-1000613               │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ org.springframework.boot:spring-boot (app.jar)              │ CVE-2022-22965   │          │        │ 2.5.1             │ 2.5.12, 2.6.6  │ RCE via Data Binding on JDK 9+                             │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2022-22965                 │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        │                   ├────────────────┼────────────────────────────────────────────────────────────┤
│ org.springframework.boot:spring-boot-actuator-autoconfigure │ CVE-2023-20873   │          │        │                   │ 2.7.11, 3.0.6  │ Security Bypass With Wildcard Pattern Matching on Cloud    │
│ (app.jar)                                                   │                  │          │        │                   │                │ Foundry                                                    │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2023-20873                 │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ org.springframework:spring-beans (app.jar)                  │ CVE-2022-22965   │          │        │ 5.3.8             │ 5.2.20, 5.3.18 │ RCE via Data Binding on JDK 9+                             │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2022-22965                 │
├─────────────────────────────────────────────────────────────┤                  │          │        │                   │                │                                                            │
│ org.springframework:spring-core (app.jar)                   │                  │          │        │                   │                │                                                            │
│                                                             │                  │          │        │                   │                │                                                            │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        │                   ├────────────────┼────────────────────────────────────────────────────────────┤
│ org.springframework:spring-web (app.jar)                    │ CVE-2016-1000027 │          │        │                   │ 6.0.0          │ spring: HttpInvokerServiceExporter readRemoteInvocation    │
│                                                             │                  │          │        │                   │                │ method untrusted java deserialization                      │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2016-1000027               │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        │                   ├────────────────┼────────────────────────────────────────────────────────────┤
│ org.springframework:spring-webmvc (app.jar)                 │ CVE-2022-22965   │          │        │                   │ 5.2.20, 5.3.18 │ RCE via Data Binding on JDK 9+                             │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2022-22965                 │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (app.jar)                                │ CVE-2022-1471    │          │        │ 1.28              │ 2.0            │ Constructor Deserialization Remote Code Execution          │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2022-1471                  │
└─────────────────────────────────────────────────────────────┴──────────────────┴──────────┴────────┴───────────────────┴────────────────┴────────────────────────────────────────────────────────────┘
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@vbonini