List of CRIT CVEs for explorer-statistics #43

vbonini · 2023-09-22T21:05:36Z

Below is a list of CRIT CVEs for explorer-statistics service. Most can be rectified by specifying fixed dep versions in a custom pom.xml file, but unfortunately not org.springframework:spring-web.

Here is the full list.

Total: 10 (CRITICAL: 10)
┌─────────────────────────────────────────────────────────────┬──────────────────┬──────────┬────────┬───────────────────┬────────────────┬────────────────────────────────────────────────────────────┐
│                           Library                           │  Vulnerability   │ Severity │ Status │ Installed Version │ Fixed Version  │                           Title                            │
├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┼────────┼───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ com.github.pagehelper:pagehelper (app.jar)                  │ CVE-2022-28111   │ CRITICAL │ fixed  │ 5.2.1             │ 5.3.1          │ MyBatis PageHelper vulnerable to time-blind SQL injection  │
│                                                             │                  │          │        │                   │                │ via orderBy parameter                                      │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2022-28111                 │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ io.springfox:springfox-swagger-ui (app.jar)                 │ CVE-2019-17495   │          │        │ 2.9.2             │ 2.10.0         │ Cross-site scripting in Swagger-UI                         │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2019-17495                 │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk15on (app.jar)                   │ CVE-2018-1000613 │          │        │ 1.59              │ 1.60           │ bouncycastle: lack of class checking in deserialization of │
│                                                             │                  │          │        │                   │                │ XMSS/XMSS^MT private keys with...                          │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2018-1000613               │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ org.springframework.boot:spring-boot (app.jar)              │ CVE-2022-22965   │          │        │ 2.5.1             │ 2.5.12, 2.6.6  │ RCE via Data Binding on JDK 9+                             │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2022-22965                 │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        │                   ├────────────────┼────────────────────────────────────────────────────────────┤
│ org.springframework.boot:spring-boot-actuator-autoconfigure │ CVE-2023-20873   │          │        │                   │ 2.7.11, 3.0.6  │ Security Bypass With Wildcard Pattern Matching on Cloud    │
│ (app.jar)                                                   │                  │          │        │                   │                │ Foundry                                                    │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2023-20873                 │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ org.springframework:spring-beans (app.jar)                  │ CVE-2022-22965   │          │        │ 5.3.8             │ 5.2.20, 5.3.18 │ RCE via Data Binding on JDK 9+                             │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2022-22965                 │
├─────────────────────────────────────────────────────────────┤                  │          │        │                   │                │                                                            │
│ org.springframework:spring-core (app.jar)                   │                  │          │        │                   │                │                                                            │
│                                                             │                  │          │        │                   │                │                                                            │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        │                   ├────────────────┼────────────────────────────────────────────────────────────┤
│ org.springframework:spring-web (app.jar)                    │ CVE-2016-1000027 │          │        │                   │ 6.0.0          │ spring: HttpInvokerServiceExporter readRemoteInvocation    │
│                                                             │                  │          │        │                   │                │ method untrusted java deserialization                      │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2016-1000027               │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        │                   ├────────────────┼────────────────────────────────────────────────────────────┤
│ org.springframework:spring-webmvc (app.jar)                 │ CVE-2022-22965   │          │        │                   │ 5.2.20, 5.3.18 │ RCE via Data Binding on JDK 9+                             │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2022-22965                 │
├─────────────────────────────────────────────────────────────┼──────────────────┤          │        ├───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (app.jar)                                │ CVE-2022-1471    │          │        │ 1.28              │ 2.0            │ Constructor Deserialization Remote Code Execution          │
│                                                             │                  │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2022-1471                  │
└─────────────────────────────────────────────────────────────┴──────────────────┴──────────┴────────┴───────────────────┴────────────────┴────────────────────────────────────────────────────────────┘

The text was updated successfully, but these errors were encountered:

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

List of CRIT CVEs for explorer-statistics #43

List of CRIT CVEs for explorer-statistics #43

vbonini commented Sep 22, 2023

List of CRIT CVEs for explorer-statistics #43

List of CRIT CVEs for explorer-statistics #43

Comments

vbonini commented Sep 22, 2023