| Produkt | Asset Suite w wersji 9.6.4.5 i starszych |
| Numer CVE | CVE-2022-44729 |
| Krytyczność | 7.1/10 |
| CVSS | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H |
| Opis | Luka w zabezpieczeniach SSRF (Server-Side Request Forgery) w Apache Software Foundation Apache XML Graphics Batik. Ten problem dotyczy Apache XML Graphics Batik: 1.16. W wersji 1.16 złośliwy plik SVG mógł domyślnie uruchamiać ładowanie zasobów zewnętrznych, powodując ich zużycie, a w niektórych przypadkach nawet ujawnienie informacji. |
| | |
| Numer CVE | CVE-2023-6378 |
| Krytyczność | 7,5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | Luka w serializacji w komponencie odbiornika logback w wersji 1.4.11 umożliwia atakującemu przeprowadzenie ataku typu DoS (odmowa usługi) poprzez wysłanie zatrutych danych. Luka ta dotyczy wersji logback starszych niż 1.2.13, 1.3.12 i 1.4.12. |
| | |
| Numer CVE | CVE-2022-45868 |
| Krytyczność | 7,8/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Konsolę administracyjną opartą na przeglądarce w silniku bazy danych H2 w wersji wcześniejszej niż 2.2.220 można uruchomić za pomocą interfejsu wiersza poleceń z argumentem -webAdminPassword, który pozwala użytkownikowi określić hasło w postaci jawnego tekstu dla konsoli administracyjnej. W rezultacie użytkownik lokalny (lub atakujący, który uzyskał dostęp lokalny w jakiś sposób) mógłby odkryć hasło, wyświetlając listę procesów i ich argumentów. Problem został rozwiązany w wersji 2.2.220 przez dostawcę H2. |
| | |
| Numer CVE | CVE-2025-23184 |
| Krytyczność | 7,5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Opis | Potencjalna luka w zabezpieczeniach umożliwiająca odmowę usługi (DOS) występuje w wersjach Apache CXF starszych niż 3.5.10, 3.6.5 i 4.0.6. W niektórych skrajnych przypadkach instancje CachedOutputStream mogą nie zostać zamknięte, a jeśli są obsługiwane przez pliki tymczasowe, mogą zapełnić system plików (dotyczy to serwerów i klientów). |
| | |
| Numer CVE | CVE-2024-22262 |
| Krytyczność | 8.1/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
| Opis | Aplikacje wykorzystujące UriComponentsBuilder do analizowania zewnętrznie podanego adresu URL (np. za pomocą parametru zapytania) ORAZ przeprowadzające weryfikację na hoście analizowanego adresu URL mogą być podatne na atak polegający na otwartym przekierowaniu lub atak SSRF, jeśli adres URL jest używany po przejściu weryfikacji. |
| | |
| Numer CVE | 2022-41678 |
| Krytyczność | 8.8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | W Apache ActiveMQ, po uwierzytelnieniu użytkownika w Jolokia, może on potencjalnie spowodować wykonanie dowolnego kodu. Dokładniej, w konfiguracjach ActiveMQ, Jetty pozwala org.jolokia.http.AgentServlet obsługiwać żądania do /api/jolokia. org.jolokia.http.HttpRequestHandler#handlePostRequest, co pozwala na tworzenie JmxRequest poprzez JSONObject. Wywołania org.jolokia.http.HttpRequestHandler#executeRequest są również możliwe w głębszych stosach wywołań. org.jolokia.handler.ExecHandler#doHandleRequest mogą być wywoływane poprzez refleksję. Może to prowadzić do RCE poprzez różne mbeany. |
| | |
| Aktualizacja | TAK |
| Link | https://publisher.hitachienergy.com/preview?DocumentID=8DBD000221&LanguageCode=en&DocumentPartId=&Action=Launch |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny