JFrog非常重视客户的隐私和安全,并始终努力提供及时的通知和补救在JFrog产品上发现的任何漏洞。hth华体会最新官方网站作为CVE编号机构(CNA), JFrog为新发现的安全漏洞分配CVE识别号码。
| 严重程度 | CVE | 总结 | 产品 | 版本 | 发表 | 更新 |
|---|---|---|---|---|---|---|
|
高 |
版本7.25.4之前的JFrog Artifactory(仅限企业+部署),由于执行SQL查询时不完全验证,容易受到低特权身份验证用户的盲SQL注入的攻击。 | Artifactory |
|
12/15/2021 | 12/15/2021 | |
|
媒介 |
cve - 2021 - 45074 |
JFrog Artifactory在7.29.3和6.23.38之前,很容易受到破坏的访问控制,低权限用户可以删除其他已知用户的文件。OAuth令牌,它将在活动会话或下面的UI会话上强制重新验证。 | Artifactory |
|
03/02/2022 | 03/02/2022 |
| 低
|
cve - 2021 - 46270 |
7.31.10之前的JFrog Artifactory易受破坏访问控制的影响,由于权限验证不足,项目管理用户能够列出所有可用的存储库名称。 | Artifactory |
|
03/02/2022 | 03/02/2022 |
|
高 |
cve - 2022 - 0573 |
7.36.1和6.23.41之前的JFrog Artifactory易受不可信数据的不安全反序列化攻击,当低特权身份验证用户由于用户提供的序列化对象验证不足而发送特制请求时,可能导致DoS、特权升级和远程代码执行。 | Artifactory |
|
05/12/2022 | 05/12/2022 |
|
媒介 |
cve - 2021 - 45730 |
7.31.10之前的JFrog Artifactory易受破坏访问控制的影响,其中项目管理员可以创建、编辑和删除存储库布局,而存储库布局配置应该只对平台管理员可用。 | Artifactory | 7.31.10之前版本 | 05/18/2022 | 05/18/2022 |
|
媒介 |
cve - 2021 - 41834 |
版本7.28.0和6.23.38之前的JFrog Artifactory易受破坏访问控制的影响,由于权限验证不当,低特权用户可以使用复制功能读取和复制Artifactory部署中存在的任何工件。 | Artifactory |
|
05/18/2022 | 05/18/2022 |
|
低 |
cve - 2021 - 23163 |
JFrog Artifactory版本之前7.33.6和6.23.38,是容易受到CSRF(跨站点请求伪造)的特定端点。 | Artifactory |
|
07/05/2022 | 07/05/2022 |
|
媒介 |
cve - 2021 - 46687 |
JFrog Artifactory版本之前7.31.10和6.23.38容易通过项目管理员REST API暴露敏感数据。 | Artifactory |
|
07/05/2022 | 07/05/2022 |
|
媒介 |
cve - 2021 - 45721 |
JFrog Artifactory版本之前7.29.8和6.23.38通过用户REST API端点中的一个XHR参数,容易受到反射跨站脚本(XSS)的攻击。 | Artifactory |
|
07/05/2022 | 07/05/2022 |
