Skip to content

Instantly share code, notes, and snippets.

@jamiejackson

jamiejackson/Dockerfile

Last active May 15, 2023 15:38
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save jamiejackson/9927836b8af80cc595c5c85a3de42175 to your computer and use it in GitHub Desktop.
Save jamiejackson/9927836b8af80cc595c5c85a3de42175 to your computer and use it in GitHub Desktop.
Download ZIP
FusionReactor 9.2.2 Security Vulnerabilities
Raw
README.md 
docker build -t fr .
docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
   aquasec/trivy \
   image fr --ignore-unfixed -f table \
   > fr_trivy.txt
Raw
Dockerfile
FROM alpine as builder
RUN apk add curl
RUN mkdir -p /opt/fusionreactor /opt/fusionreactor/conf \
&& cd /opt/fusionreactor \
&& curl -O https://download.fusionreactor.io/FR/FusionReactor-9.2.2/fusionreactor.jar \
&& curl -O https://download.fusionreactor.io/FR/FusionReactor-9.2.2/libfrjvmti_x64.so
FROM scratch
COPY --from=builder /opt/fusionreactor/* /
Raw
fr_trivy.txt
Java (jar)
==========
Total: 60 (UNKNOWN: 1, LOW: 1, MEDIUM: 15, HIGH: 17, CRITICAL: 26)
┌──────────────────────────────────────────────────────────┬─────────────────────┬──────────┬───────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2017-15095 │ CRITICAL │ 2.6.6 │ 2.7.9.2, 2.8.10, 2.9.1 │ jackson-databind: Unsafe deserialization due to incomplete │
│ (fusionreactor.jar) │ │ │ │ │ black list (incomplete fix for CVE-2017-7525)... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-15095 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-7525 │ │ │ 2.6.7.1, 2.7.9.1, 2.8.9 │ jackson-databind: Deserialization vulnerability via │
│ │ │ │ │ │ readValue method of ObjectMapper │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-7525 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-11307 │ │ │ 2.7.9.4, 2.8.11.2, 2.9.6 │ jackson-databind: Potential information exfiltration with │
│ │ │ │ │ │ default typing, serialization gadget from MyBatis │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-11307 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-14718 │ │ │ 2.6.7.2, 2.9.7 │ jackson-databind: arbitrary code execution in slf4j-ext │
│ │ │ │ │ │ class │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14718 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-14719 │ │ │ │ jackson-databind: arbitrary code execution in blaze-ds-opt │
│ │ │ │ │ │ and blaze-ds-core classes │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14719 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-14720 │ │ │ │ jackson-databind: exfiltration/XXE in some JDK classes │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14720 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-14721 │ │ │ │ jackson-databind: server-side request forgery (SSRF) in │
│ │ │ │ │ │ axis2-jaxws class │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14721 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-19360 │ │ │ 2.6.7.3, 2.7.9.5, 2.8.11.3, 2.9.8 │ jackson-databind: improper polymorphic deserialization in │
│ │ │ │ │ │ axis2-transport-jms class │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-19360 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-19361 │ │ │ │ jackson-databind: improper polymorphic deserialization in │
│ │ │ │ │ │ openjpa class │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-19361 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-19362 │ │ │ │ jackson-databind: improper polymorphic deserialization in │
│ │ │ │ │ │ jboss-common-core class │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-19362 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-7489 │ │ │ 2.7.9.3, 2.8.11.1, 2.9.5 │ jackson-databind: incomplete fix for CVE-2017-7525 permits │
│ │ │ │ │ │ unsafe serialization via c3p0 libraries │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-7489 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-14540 │ │ │ 2.9.10 │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ com.zaxxer.hikari.HikariConfig │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14540 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-14893 │ │ │ 2.8.11.5, 2.9.10 │ jackson-databind: Serialization gadgets in classes of the │
│ │ │ │ │ │ xalan package │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14893 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-16335 │ │ │ 2.9.10 │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ com.zaxxer.hikari.HikariDataSource │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16335 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-16942 │ │ │ 2.9.10.1 │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ org.apache.commons.dbcp.datasources.* │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16942 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-16943 │ │ │ │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ com.p6spy.engine.spy.P6DataSource │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16943 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-17267 │ │ │ 2.9.10 │ jackson-databind: Serialization gadgets in classes of the │
│ │ │ │ │ │ ehcache package │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17267 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-17531 │ │ │ 2.9.10.1 │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ org.apache.log4j.receivers.db.* │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17531 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-20330 │ │ │ 2.8.11.5, 2.9.10.2 │ jackson-databind: lacks certain net.sf.ehcache blocking │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20330 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-5968 │ HIGH │ │ 2.7.9.5, 2.8.11.1, 2.9.4 │ jackson-databind: unsafe deserialization due to incomplete │
│ │ │ │ │ │ blacklist (incomplete fix for CVE-2017-7525 and... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5968 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10650 │ │ │ 2.9.10.4 │ A deserialization flaw was discovered in jackson-databind │
│ │ │ │ │ │ through 2.9. ... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10650 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10673 │ │ │ 2.6.7.4, 2.9.10.4 │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing which could result... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10673 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-25649 │ │ │ 2.6.7.4, 2.9.10.7, 2.10.5.1 │ jackson-databind: FasterXML DOMDeserializer insecure entity │
│ │ │ │ │ │ expansion is vulnerable to XML external entity... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-25649 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-35490 │ │ │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.- │
│ │ │ │ │ │ .. │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35490 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-35491 │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ org.apache.commons.dbcp2.datasources.SharedPoolDataSource... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35491 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36518 │ │ │ 2.12.6.1, 2.13.2.1 │ denial of service via a large depth of nested objects │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36518 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-42003 │ │ │ 2.12.7.1, 2.13.4.1 │ deep wrapper array nesting wrt UNWRAP_SINGLE_VALUE_ARRAYS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-42003 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-42004 │ │ │ 2.12.7.1, 2.13.4 │ use of deeply nested arrays │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-42004 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-1000873 │ MEDIUM │ │ 2.9.8 │ jackson-modules-java8: DoS due to an Improper Input │
│ │ │ │ │ │ Validation │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1000873 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-rpr3-cw39-3pxh │ UNKNOWN │ │ 2.9.10.4 │ jackson-databind before 2.9.10.4 vulnerable to unsafe │
│ │ │ │ │ │ deserialization │
│ │ │ │ │ │ https://github.com/advisories/GHSA-rpr3-cw39-3pxh │
├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.dataformat:jackson-dataformat-cbor │ CVE-2020-28491 │ HIGH │ │ 2.11.4, 2.12.1 │ jackson-dataformat-cbor: Unchecked allocation of byte buffer │
│ (fusionreactor.jar) │ │ │ │ │ can cause a java.lang.OutOfMemoryError exception... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-28491 │
├──────────────────────────────────────────────────────────┼─────────────────────┤ ├───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.code.gson:gson (fusionreactor.jar) │ CVE-2022-25647 │ │ 2.3.1 │ 2.8.9 │ Deserialization of Untrusted Data in │
│ │ │ │ │ │ com.google.code.gson-gson │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25647 │
├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (fusionreactor.jar) │ CVE-2018-10237 │ MEDIUM │ 19.0 │ 24.1.1-jre, 24.1.1-android │ guava: Unbounded memory allocation in AtomicDoubleArray and │
│ │ │ │ │ │ CompoundOrdering classes allow remote attackers... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-10237 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-8908 │ LOW │ │ 30.0 │ guava: local information disclosure via temporary directory │
│ │ │ │ │ │ created with unsafe permissions │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8908 │
├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.protobuf:protobuf-java (fusionreactor.jar) │ CVE-2022-3171 │ HIGH │ 3.15.4 │ 3.16.3, 3.19.6, 3.20.3, 3.21.7 │ timeout in parser leads to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3171 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-22569 │ MEDIUM │ │ 3.16.1, 3.18.2, 3.19.2 │ protobuf-java: potential DoS in the parsing procedure for │
│ │ │ │ │ │ binary data │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22569 │
├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.unboundid:unboundid-ldapsdk (fusionreactor.jar) │ CVE-2018-1000134 │ CRITICAL │ 3.2.1 │ 4.0.5 │ unboundid-ldapsdk: Incorrect Access Control vulnerability in │
│ │ │ │ │ │ process function in SimpleBindRequest class │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1000134 │
├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec (fusionreactor.jar) │ CVE-2020-11612 │ HIGH │ 4.1.36.Final │ 4.1.46.Final │ netty: compression/decompression codecs don't enforce limits │
│ │ │ │ │ │ on buffer allocation sizes │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11612 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-37136 │ │ │ 4.1.68 │ netty-codec: Bzip2Decoder doesn't allow setting size │
│ │ │ │ │ │ restrictions for decompressed data │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37136 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-37137 │ │ │ │ netty-codec: SnappyFrameDecoder doesn't restrict chunk │
│ │ │ │ │ │ length and may buffer skippable chunks in... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37137 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-21290 │ MEDIUM │ │ 4.1.59.Final │ netty: Information disclosure via the local system temporary │
│ │ │ │ │ │ directory │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21290 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-21409 │ │ │ 4.1.61.Final │ netty: Request smuggling via content-length header │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21409 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-24823 │ │ │ 4.1.77.Final │ netty: world readable temporary file containing sensitive │
│ │ │ │ │ │ data │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24823 │
├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http (fusionreactor.jar) │ CVE-2019-20444 │ CRITICAL │ │ 4.1.44.Final │ netty: HTTP request smuggling │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20444 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-20445 │ │ │ │ netty: HttpObjectDecoder.java allows Content-Length header │
│ │ │ │ │ │ to accompanied by second Content-Length header │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20445 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-16869 │ HIGH │ │ 4.1.42.Final │ netty: HTTP request smuggling by mishandled whitespace │
│ │ │ │ │ │ before the colon in HTTP... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16869 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-21290 │ MEDIUM │ │ 4.1.59.Final │ netty: Information disclosure via the local system temporary │
│ │ │ │ │ │ directory │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21290 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-21409 │ │ │ 4.1.61.Final │ netty: Request smuggling via content-length header │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21409 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-43797 │ │ │ 4.1.71 │ netty: control chars in header names may lead to HTTP │
│ │ │ │ │ │ request smuggling... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-43797 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-24823 │ │ │ 4.1.77.Final │ netty: world readable temporary file containing sensitive │
│ │ │ │ │ │ data │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24823 │
├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-handler (fusionreactor.jar) │ CVE-2019-20444 │ CRITICAL │ │ 4.1.44 │ netty: HTTP request smuggling │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20444 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-20445 │ │ │ 4.1.45 │ netty: HttpObjectDecoder.java allows Content-Length header │
│ │ │ │ │ │ to accompanied by second Content-Length header │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20445 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-11612 │ HIGH │ │ 4.1.46 │ netty: compression/decompression codecs don't enforce limits │
│ │ │ │ │ │ on buffer allocation sizes │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11612 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-21290 │ MEDIUM │ │ 4.1.59.Final │ netty: Information disclosure via the local system temporary │
│ │ │ │ │ │ directory │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21290 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-21409 │ │ │ 4.1.61.Final │ netty: Request smuggling via content-length header │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21409 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-24823 │ │ │ 4.1.77.Final │ netty: world readable temporary file containing sensitive │
│ │ │ │ │ │ data │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24823 │
├──────────────────────────────────────────────────────────┼─────────────────────┤ ├───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.httpcomponents:httpclient (fusionreactor.jar) │ CVE-2020-13956 │ │ 4.5.2 │ 4.5.13 │ apache-httpclient: incorrect handling of malformed authority │
│ │ │ │ │ │ component in request URIs │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13956 │
├──────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.groovy:groovy (fusionreactor.jar) │ CVE-2015-3253 │ CRITICAL │ 2.2.2 │ 2.4.4 │ groovy: remote execution of untrusted code in class │
│ │ │ │ │ │ MethodClosure │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-3253 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-6814 │ │ │ │ Apache Groovy: Remote code execution via deserialization │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-6814 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-17521 │ MEDIUM │ │ 2.4.21, 2.5.14, 3.0.7 │ groovy: OS temporary directory leads to information │
│ │ │ │ │ │ disclosure │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-17521 │
└──────────────────────────────────────────────────────────┴─────────────────────┴──────────┴───────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment