没有CVE影响Artifactory的漏洞
以下是一个没有CVE影响Artifactory并已修复的漏洞列表。
| 描述 | 严重程度 | Artifactory修复版本 |
|---|---|---|
更新jackson-dataformats-binary到版本2.12.3. |
高 | 7.21.3 |
排除了Plexus-cipher图书馆。 |
媒介 | 7.21.3 |
升级om.nimbusds: oauth2-oidc-sdk: 6.149.9.3。 |
高 | 7.21.3 |
升级到wiremock-jre82.28.0版本。 |
高 | 7.21.3 |
升级maven-shared-utils: 3.2.1之上到334版。 |
至关重要的 | 7.21.3 |
在某些情况下,经过身份验证的用户能够:
|
至关重要的 | |
| 在某些情况下,用户可以访问原本只向管理员公开的应用程序数据。 | 至关重要的 | 6.8.14, 6.9.3, 6.10.4 |
| 在某些情况下,未经授权的用户可能会向Artifactory发送格式错误的REST API调用,这些调用以另一个用户的身份执行。 | 至关重要的 |
|
| 一个与SAML相关的身份验证漏洞可能会使Artifactory暴露在XSW攻击中,这种攻击可以嗅探和操纵SAML通信,从而导致SAML登录响应的错误验证。这可能允许攻击者访问Artifactory中的任何用户。 | 高 | 6.5.13 |
CVEs不影响艺术性
以下是cve的列表不影响Artifactory。
| CVE | 严重程度 | Artifactory修复版本 | 原因 |
|---|---|---|---|
| 高 | 7.56.2 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.56.2 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.56.2 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.56.2 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.55.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.55.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.55.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.55.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.55.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.55.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.55.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.55.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.55.1 | 不影响Artifactory,既然只影响 |
|
| 至关重要的 | 7.53.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.53.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.53.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.53.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.53.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.53.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.53.1 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.53.1 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.53.1 | 不影响Artifactory,既然只影响 |
|
| cve - 2022 - 45047 | 至关重要的 | 7.52.0 | 不影响Artifactory,既然只影响Apache MINA SSHD. |
| 高 | 7.52.0 | 不影响Artifactory,既然只影响SnakeYAML. |
|
| cve - 2022 - 1552 | 高 | 7.52.0 | 不影响Artifactory,既然只影响Postgres. |
| cve - 2022 - 27664 | 高 | 7.52.0 | 不影响Artifactory,既然只影响Golang. |
| cve - 2022 - 41720 | 高 | 7.52.0 | 不影响Artifactory,既然只影响Golang. |
| cve - 2022 - 28948 | 高 | 7.52.0 | 不影响Artifactory,既然只影响Go-yaml. |
| cve - 2021 - 33194 | 高 | 7.52.0 | 不影响Artifactory,既然只影响golang.org/x/net. |
| 高 | 7.52.0 | 不影响Artifactory,既然只影响traefik. |
|
| cve - 2022 - 31159 | 高 | 7.52.0 | 不影响Artifactory,既然只影响aws-java-sdk. |
| cve - 2022 - 40716 | 媒介 | 7.52.0 | 不影响Artifactory,既然只影响hashicorp. |
| cve - 2022 - 41915 | 媒介 | 7.52.0 | 不影响Artifactory,既然只影响网状的. |
| cve - 2022 - 38749 | 媒介 | 7.52.0 | 不影响Artifactory,既然只影响SnakeYAML而且常见的. |
| 至关重要的 | 7.50.3 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.50.3 | 不影响Artifactory,因为它只影响 |
|
| cve - 2022 - 31197 | 高 | 7.50.3 | 不影响Artifactory,因为它只影响 |
| 高 | 7.50.3 | 不影响Artifactory,因为它只影响 |
|
| 高 | 7.49.3 | 不影响Artifactory,因为它只影响 |
|
| 高 | 7.49.3 | 不影响Artifactory,既然只影响升级 |
|
| 高 | 7.49.3 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.49.3 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.49.3 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.49.3 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.49.3 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.49.3 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.49.3 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.49.3 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.49.3 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.49.3 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.49.3 | 不影响Artifactory,既然只影响logrotate |
|
| 至关重要的 | 7.47.7 | 不影响Artifactory,既然只影响 |
|
| 至关重要的 | 7.47.7 | 不影响Artifactory,既然只影响 |
|
| 至关重要的 | 7.47.7 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.47.7 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.47.7 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.47.7 | 不影响Artifactory,既然只影响 |
|
| cve - 2022 - 22970 | 高 | 7.46.3 | 不影响Artifactory,既然只影响org.springframework: spring bean. |
| 媒介 | 7.47.7 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.47.7 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.47.7 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.47.7 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.47.7 | 不影响Artifactory,因为它只影响grpc-tools和 |
|
| 媒介 | 7.47.7 |
|
|
| 媒介 | 7.47.7 | 不影响Artifactory,既然只影响grpc-tools而且grpc_tools_node_protoc_ts.golang.org/x/cryp. |
|
| 媒介 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| cve - 2022 - 31030 | 媒介 | 7.46.3 | 不影响Artifactory,既然只影响containerd。 |
| 媒介 | 7.46.3 | 不影响Artifactory,既然只影响org.springframework: spring上下文。 |
|
| cve - 2022 - 31197 | 媒介 | 7.46.3 | 不影响Artifactory,既然只影响org.postgresql: postgresql。 |
| 至关重要的 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| cve - 2022 - 22963 |
至关重要的 | 7.46.3 | 不影响Artifactory,既然只影响 |
| 高 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.46.3 | 不影响Artifactory,因为它只影响affectsio.netty:netty-common。 |
|
| 媒介 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| 媒介 | 7.46.3 | 不影响Artifactory,既然只影响 |
|
| 至关重要的 | 7.46.3 |
不影响Artifactory,既然只影响 |
|
cve - 2022 - 22971 |
至关重要的 | 7.42.1 | 不影响Artifactory,既然只影响spring核心。 |
| 高 | 7.42.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.41.4 | 不影响Artifactory,既然只影响jackson-databind。 |
|
| cve - 2022 - 24823 | 媒介 | 7.41.4 | 不影响Artifactory,既然只影响 |
| 高 | 7.41.4 | 不影响Artifactory,既然只影响 |
|
| 至关重要的 | 7.41.4 | 不影响Artifactory,既然只影响spring核心。 |
|
| 高 | 7.41.4 | 不影响Artifactory,既然只影响 |
|
| 至关重要的 | 7.39.4 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.39.4 | 不影响Artifactory,既然只影响领事。 |
|
| 媒介 | 7.39.4 | 不影响Artifactory,既然只影响containerd。 |
|
| cve - 2022 - 27191 | 高 | 7.39.4 | 不影响Artifactory,既然只影响golang.org/x/crypto/ssh. |
| 高 | 7.39.4 | 不影响Artifactory,既然只影响来containerd。 |
|
| 媒介 | 7.39.4 | 不影响Artifactory,既然只影响nodejs客户的axios。 |
|
| 媒介 | 7.37.13 | 不影响Artifactory,既然只影响 |
|
| cve - 2021 - 3807 |
高 | 7.37.13 | 不影响Artifactory,既然只影响 |
| cve - 2022 - 23806 | 至关重要的 | 7.37.13 | 不影响Artifactory,既然只影响 |
| cve - 2021 - 41090 |
媒介 | 7.35.1 | 不影响Artifactory,既然只影响码头工人和image-spec。 |
| 媒介 | 7.34.4 | 不影响Artifactory,因为它只影响org.springframework:spring-core:5.3.12。 |
|
| 媒介 | 7.31.10 | 不影响Artifactory,既然只影响 |
|
| cve - 2017 - 9506 | 媒介 | 7.31.10 | 不影响Artifactory,既然只影响IconUriServlet的atlassian OAuth插件。 |
| 媒介 | 7.31.10 | 不影响Artifactory,因为它只影响mysql:mysql-connector-java:8.0.20。 | |
| cve - 2021 - 42340 |
高 | 7.31.10 | 不影响Artifactory,因为它只影响Apache Tomcat版本: 9.0.48和8.5.73。 |
| cve - 2020 - 13949 | 高 | 7.31.10 | 不影响Artifactory,因为它只影响jaeger1.6.0,使用节俭0.14.1. |
cve - 2021 - 35560 |
高 | 7.31.10 | 不影响Artifactory,既然只影响Java。 |
| cve - 2021 - 36374 | 媒介 | 7.31.10 | 不影响Artifactory,因为它只影响 |
| 媒介 | 7.27.3 | 不影响Artifactory,因为它只影响Apache Tomcat。 | |
| 高 | 7.27.3 | 不影响Artifactory,因为它只影响org.elasticsearch: elasticsearch. |
|
| 高 | 7.27.3 | 不影响Artifactory,因为它只影响org.elasticsearch: elasticsearch. |
|
| 高 | 7.27.3 | 不影响Artifactory,因为它只影响org.elasticsearch: elasticsearch。 |
|
| 高 | 7.25.4 | 不影响Artifactory,因为它只影响org.apache.sshd: sshd-core: 2.6.0。 |
|
| cve - 2017 - 18640 | 高 | 7.25.4 | 不影响Artifactory,因为它只影响1.23 XML实体扩展。 |
| 至关重要的 | 7.25.4 | 不影响Artifactory,因为它只影响json-smart-1.3.1。 |
|
| cve - 2021 - 27568 | 至关重要的 | 7.25.4 | 不影响Artifactory,因为它只影响json-smart-1.3.1。 |
| 正常的 | 7.24.1 | 不影响Artifactory,因为它只影响Maven 3.8.1版。 |
|
| 高 | 7.24.1 | 不影响Artifactory,因为它只影响Apache Velocity引擎。 |
|
| cve - 2018 - 9116 | 至关重要的 | 7.23.3 | 不影响Artifactory,既然只影响wiremock。 |
| 至关重要的 | 7.21.3 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.21.3 | 不影响Artifactory,因为它只影响Apache Maven。 |
|
| 媒介 | 7.21.3 | 不影响Artifactory,既然只影响netty-codec-http: 4.1.53.final。 |
|
| 媒介 | 7.21.3 | 不影响Artifactory,既然只影响org.codehaus.groovy: groovy-all。 |
|
| 高 | 7.17.4 | 不影响Artifactory,既然只影响Spring安全Web。 |
|
| cve - 2019 - 17571 |
媒介 | 7.15.3 | 不影响Artifactory,既然只影响log4j-to-slf4j而且log4j api。 |
| 高 | 7.11.1 |
不影响Artifactory,因为它只影响h |
|
| 媒介 | 7.11.1 |
不影响Artifactory,因为它只影响so |
|
| 高 | 7.11.1 |
不影响Artifactory,既然只影响 |
|
| 高 | 7.11.1 | 不影响Artifactory,既然只影响 |
|
| 高 | 7.10.5 |
不影响Artifactory,既然只影响 bcprov-jdk15。
|
|
| 高 | 7.10.5 | 不影响Artifactory,因为它只影响atcryptacular-1.1.1.jar。 |
|
| cve - 2020 - 7692 | 至关重要的 | 7.10.2 | 不影响Artifactory,既然只影响google-oauth-client图书馆。 |
| 媒介 | 7.10.1 | 不影响Artifactory,既然只影响Commons-compress图书馆。 |
|
| 媒介 | 7.10.1 | 不影响Artifactory,既然只影响Commons-compress图书馆。 |
|
| 高 | 7.10.1 | 不影响Artifactory,既然只影响去1.14.9. |
|
| 高 | 7.10.1 | 不影响Artifactory,既然只影响人群自由。 |
|
| 高 | 7.10.1 |
不影响Artifactory,既然只影响 |
|
| 高 | 7.10.1 |
不影响Artifactory,既然只影响 |
|
| 至关重要的 | 7.10.1 |
不影响Artifactory,既然只影响 |
|
| 高 | 7.9.0 | 不影响Artifactory,因为它只影响lodash。 | |
| cve - 2020 - 1745 | 至关重要的 | 7.9.0 | 不影响Artifactory,既然只影响io。undertow:undertow-core / 2.0.15 final。 |
| cve - 2017 - 15095 | 至关重要的 | 7.8.1 | 不影响Artifactory,既然只影响fge: jackson-coreutils: jar. |
| cve - 2017 - 17485 | 至关重要的 | 7.8.1 | 不影响Artifactory,既然只影响fge: jackson-coreutils: jar. |
| cve - 2017 - 7525 | 至关重要的 | 7.8.1 | 不影响Artifactory,既然只影响fge: jackson-coreutils: jar. |
| cve - 2020 - 13935 | 高 | 7.7.0 | 不影响Artifactory,既然只影响Apache Tomcat. |
| 高 | 7.7.0 | 不影响Artifactory,既然只影响Apache Tomcat. |
|
| cve - 2020 - 11996 | 高 | 7.7.0 | 不影响Artifactory,既然只影响Apache Tomcat. |
| 至关重要的 | 6.23.25 | 不影响Artifactory,既然只影响npm lodash图书馆 |
|
| cve - 2022 - 30591 | 高 | N/A | JFrog Artifactory不受影响,因为它没有使用quic-go通过0.27.0。 |
| cve - 2022 - 42889 | 至关重要的 | N/A | JFrog平台不是受影响,因为它不使用受影响的包。 |
| cve - 2016 - 1000027 | 至关重要的 | N/A | 不影响Artifactory,自它不使用冲击HttpInvokerServiceExporter组件,用于提供远程访问。 |
| cve - 2022 - 34305 | 媒介 | N/A | 不会影响Artifactory,因为它不使用Apache Tomcat版本中包含的受影响的组件。 |
| cve - 2022 - 29885 | 高 | N/A | 不会影响Artifactory,因为它不使用Apache Tomcat版本中包含的受影响的组件。 |
| cve - 2018 - 10892 | 高 | N/A | 不影响Artifactory,仅此而已吗Traefik使用它,因此只在Docker Provider被打开时才应用,这在Artifactory中不是这样的。 |
| cve - 2020 - 0187 | 媒介 | N/A | 不影响Artifactory,因为它只影响Android平台。 |
| cve - 2020 - 0187 | 媒介 | N/A | 不影响Artifactory,因为它只影响Android平台。 |
| N/A | 媒介 | N/A | 不会影响Artifactory,因为它只适用于使用Apache Sling时,而不是Artifactory中的情况。 |
| N/A | 媒介 | N/A | 不影响Artifactory,既然只影响SSLServerSocketAppender而且{{SSLSocketAppender}} |
| cve - 2017 - 7536 | 高 | N/A | 不影响Artifactory,既然Artifactory没有使用org.hibernate_hibernate-validator. |
| cve - 2020 - 9484 | 高 | N/A | 不会影响Artifactory,因为如果Tomcat配置了PersistenceManager,这个漏洞就会被利用,而Artifactory并不使用PersistenceManager。 |
| cve - 2019 - 11888 | 高 | N/A | 这个CVE应该会影响Artifactory 6。x版本。的golang /去库是元数据服务的一部分,在Artifactory 6中没有启用。x版本。 |
| cve - 2019 - 14809 | 高 | N/A | 这个CVE应该会影响Artifactory 6。x版本。的golang /去库是元数据服务的一部分,在Artifactory 6中没有启用。x版本。 |
| cve - 2019 - 0232 | 高 | N/A | 的enableCmdLineArguments参数在与Artifactory绑定的Apache Tomcat中没有启用。 |
| cve - 2018 - 8014 | 高 | N/A | JFrog Apache Tomcat版本为8.5.32,不在易受攻击版本之列。 |
| cve - 2018 - 1275 | 高 | N/A | 的JFrogSpring框架版本为4.1.8,不支持该版本,容易被CVE攻击。但是,由于JFrog没有实现STOMP代理,所以我们没有暴露在这个漏洞中 |
| 媒介 | N/A | JFrog不对Windows操作系统中的漏洞负责。任何使用本地环境的人都应该使Windows操作系统保持最新。 | |
| cve - 2018 - 11776 | 高 | N/A | 不影响Artifactory,因为JFrog不使用Apache Struts。 |
| cve - 2018 - 5925 | 高 | N/A | 不影响Artifactory,因为该问题涉及某些HP喷墨打印机,与JFrog无关。 |
| cve - 2018 - 5924 | 高 | N/A | 不影响Artifactory,因为该问题涉及某些HP喷墨打印机,与JFrog无关。 |
| cve - 2018 - 5382 | 高 | N/A | 不影响Artifactory,既然JFrog不用了BKS-V1密钥存储库. |
| cve - 2018 - 1260 | 高 | N/A | 不影响Artifactory,既然JFrog不用了Spring Security Oauth. |
| cve - 2018 - 1259 | 高 | N/A | 不影响Artifactory,既然JFrog不用了Spring数据共享. |
| cve - 2017 - 5664 | 高 | N/A |
不影响Artifactory,因为默认值为 只读的属性在DefaultServlet中是“真正的“(readOnly = true)在我们的环境中。正如在CVE,你只是脆弱:“……如果DefaultServlet被配置为允许写…” |
| cve - 2017 - 5648 | 至关重要的 | N/A |
不影响Artifactory,自 tomcat webapps /文件夹只包含被捆绑的Tomcat发行版使用的Artifactory WAR和Access WAR文件。 |
| cve - 2017 - 5647 | 高 | N/A | 不影响Artifactory,因为这个问题只涉及到Artifactory不使用的“发送文件”服务。 |
| cve - 2017 - 5638 | 至关重要的 | N/A | Artifactory是不受Apache Struts 2漏洞影响。 |
| CVE-2014-0097年 | 高 | N/A | 对于LDAP身份验证,Artifactory严格使用ArtifactoryLdapAuthenticationProvider类,该类使用ArtifactoryLdapAuthenticator,将ArtifactoryBindAuthenticator.后一个类是用于执行实际身份验证的类并检查对于空密码。
Artifactory没有在LDAP中使用任何其他提供程序,例如
ActiveDirectoryLdapAuthenticationProvider.这JIRA问题引用较旧的类名,ActiveDirectoryLdapAuthenticator这不是Spring Security and Artifactory的一部分。 |
| cve - 2008 - 4108 | 高 | N/A | 不影响Artifactory,既然ArtifactoryJfrog不需要安装Python;CVE与Jfrog无关。 |
| cve - 2005 - 2541 | 高 | N/A | 不影响Artifactory,既然Artifactory使用焦油1.30.1. |
洞察力
CVEs影响洞察力
以下是发现影响Insight并已修复的cve列表。
| CVE | 严重程度 | Insight修复版本 |
修复描述 |
|---|---|---|---|
| cve - 2022 - 45143 | 高 | 1.13.3 | tomcat-embed-core,已升级至9.0.69版本。 |
| cve - 2022 - 31692 | 至关重要的 | 1.13.0 | 升级 升级 |
| cve - 2022 - 23181 | 高 | 1.7.0 | tomcat-embed-core,已升级至9.0.58版本。 |
| cve - 2021 - 22060 | 媒介 | 1.6.0 | 升级spring web到版本5.3.14。 |
| cve - 2021 - 42550 | 媒介 | 1.5.0 | 升级logback版本来1.2.9. |
| cve - 2021 - 22096 | 媒介 | 1.4.0 | 升级spring web到版本5.3.12。 |
CVEs不影响洞察力
| CVE | 严重程度 | Insight修复版本 | 原因 |
|---|---|---|---|
| cve - 2022 - 41915 | 媒介 | 1.13.3 | 升级netty-codec-http: 4.1.68.Final来 |
| cve - 2022 - 42003 | 高 | N/A | 升级 |
| cve - 2022 - 3171 | 高 | N/A | 不影响Insight,因为它只影响protobuf-java。 |
| cve - 2022 - 42252 | 高 | N/A | 升级Tomcat版本9.0.69。 |
| cve - 2019 - 13990 | 高 | N/A | 升级quartz-scheduler到版本2.3.2。 |
| cve - 2022 - 25857 | 高 | 1.12.1 | SnakeYAML从1.30版本升级到1.31版本。 |
| cve - 2022 - 31197 | 高 | 1.12.0 | PostgreSQL JDBC驱动程序从42.3.3版本升级到42.4.1版本 |
| cve - 2022 - 23708 | 媒介 | 1.11.3 | Elasticsearch已从7.16.3版本升级到7.17.1版本。 |
| cve - 2021 - 31684 | 高 | 1.5.0 | 升级json-smart到版本1.3.3。 |
| cve - 2021 - 21290 | 媒介 | 1.4.0 | 升级netty-codec-http: 4.1.53.final来4.1.59.Final. |
| cve - 2022 - 22970 | 媒介 | 1.11.3 | spring-bootcore,已由2.6.7版本升级至2.7.0版本。 |
| cve - 2022 - 22968 | 高 | 1.10.2 | spring-bootcore,已从2.6.6版本升级到2.6.7版本。 |
| cve - 2020 - 36518 | 高 | 1.10.1 | jackson-databind,已升级至2.13.2.1版本。 |
| cve - 2022 - 22965 | 至关重要的 | 1.8.1 | sprint-bootcore,已从2.6.2版本升级到2.6.6版本。 |
| cve - 2022 - 21724 | 至关重要的 | 1.6.2 | pgjdbc,官方的PostgreSQL JDBC Driver已经升级到42.2.25版本。 |
| cve - 2021 - 22569 | 高 | 1.6.2 | 的protobuf-java组件已升级到3.19.2版本。 |
| cve - 2020 - 25649 | 高 | N/A | Searchguard TLS使用库的工具仅由系统管理员在本地用于在安装期间生成TLS证书。因此,它只在可信数据上运行,因此不受此漏洞的影响。 |
分布
CVEs不会影响分销
以下是cve的列表不分布的影响。
| CVE | 严重程度 | 分发补丁版本 | 原因 |
|---|---|---|---|
媒介 |
N/A | 升级到固定版本。 | |
高 |
N/A | 发行版不使用与此漏洞相关的API。 | |
| 高 | N/A | 更新UI公共库。 |
|
| cve - 2022 - 21222 | 高 | N/A | 此依赖关系仅在开发过程中使用,不包括在最终产品部署中。 |
| cve - 2022 - 45143 | 高 | N/A | 发行版不使用易受攻击的API。 |
| 媒介 | N/A | 将驱动程序更新到42.5.1修复了该漏洞。 | |
| cve - 2022 - 42889 | 至关重要的 | N/A | 升级到固定版本,尽管分发版不使用易受攻击的API。 |
| cve - 2022 - 31692 | 至关重要的 | N/A | 升级到固定版本。 |
| cve - 2022 - 3171 | 高 | N/A | 升级到固定版本。 |
| cve - 2022 - 42004 | 高 | N/A | 升级到固定版本。 |
| cve - 2022 - 38750 | 媒介 | N/A | 升级到固定版本。 |
| cve - 2022 - 38749 | 媒介 | N/A | 升级到固定版本。 |
| cve - 2022 - 1471 | 至关重要的 | N/A | 不会影响分发版,因为分发版不使用可能有害的构造函数。 |
| cve - 2022 - 42252 | 高 | N/A | 不影响分发,因为产品使用Tomcat 9.0.58版本,不重新定义rejectIllegalHeader,因此其有效值为“true”(默认值)。 |
| cve - 2016 - 1000027 | 至关重要的 | N/A | D不影响分布因为分发版没有使用易受攻击的API。 |
| cve - 2022 - 22978 | 高 | N/A | 升级spring-security-web到5.7.0版本。 |
| cve - 2022 - 22968 | 媒介 | N/A | 升级spring上下文到版本5.3.21。 |
| cve - 2022 - 22970 | 媒介 | N/A | 升级spring bean到版本5.3.21。 |
| cve - 2021 - 21309 | 至关重要的 | N/A | 不影响发行版,因为发行版使用64位Redis,该问题只影响32位系统或运行在64位系统上的32位Redis可执行文件。 |
| cve - 2022 - 24785 | 高 | 2.12.3 | Moment.js是一个JavaScript日期库,用于解析、验证、操作和格式化日期。路径遍历漏洞影响的npm(服务器)用户Moment.js在版本1.0.1和2.29.1之间,特别是当用户提供的区域设置字符串直接用于切换时刻区域设置时。此问题在2.29.2版本中进行了修补,该补丁适用于所有受影响的版本。作为一种变通方法,在将用户提供的区域设置名称传递给之前,先清除它Moment.js. |
| cve - 2022 - 21724 | 媒介 | 2.12.0 | pgjdbc,官方PostgreSQL JDBC驱动程序,已升级到42.2.25版本。 |
| cve - 2021 - 42550 | 媒介 | 2.11.0 | 升级了logback.xml到版本1.2.9。 |
| cve - 2022 - 24823 | 媒介 | N/A | 不影响分发版,因为该漏洞只影响运行在Java版本6及更低版本上的应用程序。 |
任务控制
CVEs不影响任务控制
| CVE | 严重程度 | 任务控制修复版本 | 原因 |
|---|---|---|---|
| cve - 2021 - 37136 | 高 | 4.7.15 | 升级netty-codec4.1.68.Final。 |
| cve - 2021 - 22149 | 高 | 4.7.14 | 升级Elasticsearch7.14.0。 |
| cve - 2021 - 22148 | 高 | 4.7.14 | 升级Elasticsearch7.14.0。 |
| cve - 2021 - 22147 | 媒介 | 4.7.14 | 升级Elasticsearch7.14.0。 |
| cve - 2021 - 31684 | 高 | 4.7.13 | 升级Apache HttpClient到4.5.13版本。 |
| cve - 2021 - 22112 | 高 | 4.7.13 | 升级spring-security-web到版本5.4.4。 |
| cve - 2020 - 13956 | 媒介 | 4.7.13 | 升级json-smart到2.4.7版本。 |
| cve - 2021 - 35517 | 高 | 4.7.11 | 升级common-compress到版本1.2.1。 |
| cve - 2021 - 27568 | 至关重要的 | 4.7.11 | 升级json-smart到2.4.7版本。 |
| cve - 2020 - 28052 | 高 | 4.7.11 | 升级bc-java到版本1.6.7。 |
| cve - 2020 - 8908 | 低 | N/A | 不影响任务控制,因为JFrog不使用com.google.common.io.Files.createTempDir ()函数。 |
没有CVE的漏洞会影响任务控制
以下是影响任务控制的无CVE且已修复的漏洞列表。
| 修复描述 | 严重程度 | 任务控制修复版本 |
|---|---|---|
| 更新netty-codec到版本4.1.66.Final。 | 至关重要的 | 4.7.11 |
没有CVE的漏洞不会影响任务控制
以下是不具有CVE且不影响任务控制的漏洞列表。
| 修复描述 | 严重程度 | 任务控制修复版本 |
|---|---|---|
Flyway不安全日志本地密码泄露( |
高 | “不受影响”第三方包:默认日志级别设置为WARN。 |
管道
CVEs冲击管道
| CVE | 严重程度 | 管线修复版本 | 原因 |
|---|---|---|---|
| cve - 2022 - 24921 | 高 | 1.27.0 | 用户可以在步骤中使用jfrog cli导致堆栈耗尽,但这只会导致步骤失败。 |
| cve - 2022 - 30634 | 高 | 1.27.0 | Jfrog cli阻止用户传递max buffer。 |
| cve - 2022 - 0235 | 媒介 | 1.24.0 | 移除节点获取依赖。 |
CVEs不影响管道
以下是cve的列表不影响管道。
| CVE | 严重程度 | 管线修复版本 | 原因 |
|---|---|---|---|
| cve - 2021 - 43138 | 高 | N/A | 不影响管道。从管道构建代理中删除了不必要的依赖项。 |
| cve - 2021 - 41248 | 高 | N/A | 不影响管道。从管道构建代理中删除了不必要的依赖项。 |
| 高 | 1.25.1 | 升级node . js到版本16.16.0。 |
|
| cve - 2022 - 32213 | 至关重要的 | 1.25.1 | 升级node . js到版本16.16.0。 |
| cve - 2022 - 32214 | 至关重要的 | 1.25.1 | 升级node . js到版本16.16.0。 |
| cve - 2022 - 32215 | 至关重要的 | 1.25.1 | 升级node . js到版本16.16.0。 |
| cve - 2022 - 32223 | 高 | 1.25.1 | 升级node . js到版本16.16.0。 |
| cve - 2021 - 23343 | 高 | 1.20.2 | 不影响管道,因为 |
| cve - 2021 - 3918 | 至关重要的 | 1.20.2 | 不影响管道。尽管脆弱的图书馆 |
| cve - 2021 - 23358 | 高 | 1.20.2 | 不影响管道,因为 |
| cve - 2022 - 25648 | 高 | N/A | 不影响管道,因为核心服务控制传递给git命令的命令。 |
没有CVE的漏洞不会影响管道
以下是不具有CVE且不影响管道的漏洞列表
| 描述 | 严重程度 | 管线修复版本 | 原因 |
|---|---|---|---|
防止 |
媒介 | 1.23.2 |
|
原型污染缺陷 |
高 | 1.20.2 | 不影响管道,因为 |
原型污染缺陷node-forge 0.10.0 |
至关重要的 | N/A | 不影响管道,因为管道和win-ca不调用易受攻击的调试函数。 |
前端
没有CVE的漏洞不会影响前端
以下是没有CVE且不影响Frontend的漏洞列表
| 描述 | 严重程度 | 原因 |
|---|---|---|
原型污染缺陷node-forge 0.10.0 |
至关重要的 | 不影响Frontend,因为Frontend和selfsigned不调用易受攻击的调试函数。 |
x光
CVEs影响x射线
以下是发现的影响x射线并已修复的cve列表。
| CVE | 严重程度 | x射线修复版本 |
修复描述 |
|---|---|---|---|
| cve - 2022 - 31030 | 媒介 | 3.60.2 | 升级github.com/containerd/containerd版本1.5.13. |
| cve - 2022 - 28948 | 高 | 3.60.2 | 升级gopkg.in / yaml.v3:3.0.0 - 20200313102051版本到gopkg.in/yaml.v3:3.0.1。 |
| cve - 2022 - 27664 | 高 | 3.60.2 3.61.5 |
升级golang.org/x/net v0.0.0 - 20220722155237到golang.org/x/net版本0.1.0升级 golang.org/x/sys v0.0.0 - 20220722155237到golang.org/x/sys v0.1.0升级 golang.org/x/net v0.3.7到golang.org/x/text v0.4.0。 |
| cve - 2022 - 32149 | 高 | 3.60.2 | 升级从0.3.7到0.3.8。 |
| cve - 2022 - 32189 | 高 | 3.59.4 | 升级Golang版本到1.18.5。 |
| cve - 2021 - 38197 | 至关重要的 | 3.57.6 | 升级go-unarr库升级到v0.1.4版本。 |
| cve - 2022 - 29526 | 媒介 | 3.55.2 | 升级Golang版本1.18.4. |
| cve - 2022 - 30634 | 高 | 3.55.2 | 升级Golang版本1.18.4. |
| cve - 2022 - 30632 | 高 | 3.55.2 | 升级Golang版本1.18.4. |
| cve - 2022 - 30630 | 高 | 3.55.2 | 升级Golang版本1.18.4. |
| cve - 2022 - 30631 | 高 | 3.55.2 | 升级Golang版本1.18.4. |
| cve - 2022 - 24769 | 媒介 | 3.54.5 | 升级Containerd版本1.5.11. |
| cve - 2022 - 29526 | 媒介 | 3.54.5 | 升级到Golang版本号到1.17.11。 |
| cve - 2022 - 23806 | 至关重要的 | 3.50.3 | 升级JFrog路由器至7.39.0版本。 |
| cve - 2022 - 27191 | 高 | 3.49.0 | 升级golang.org/x/cryptov0.0.0 - 20220314234659 - 1 - baeb1ce4c0。 |
| 高 | 3.48.2 | 升级Golang版本到1.17.9。 |
|
| cve - 2022 - 24921 | 高 | 3.48.2 | 升级Golang版本到1.17.9。 |
| 至关重要的 | 3.42.3 | 升级Containerd版本为1.5.9。 |
|
| cve - 2021 - 44717 | 媒介 | 3.41.4 | 升级Golang版本到1.17.5。 |
| cve - 2021 - 44716 | 高 | 3.41.4 | 升级Golang版本到1.17.5。 |
| cve - 2021 - 41771 | 高 | 3.38.1 | 升级Golang版本号到1.17.3。 |
| cve - 2021 - 33196 | 高 | 3.34.1 | 升级Golang版本到1.15.13、1.16.5。 |
x光
CVEs不影响x射线
以下是cve的列表不影响x光。
| CVE | 严重程度 | x射线修复版本 |
修复描述 |
|---|---|---|---|
| cve - 2021 - 38197 | 至关重要的 | 3.57.6 | 升级go-unarr库升级到v0.1.4版本。 |
