第 7 章 固定的CVEs

  • CVE-2018-7489jackson-databind :CVE-2017-7525的不完全修复允许通过c3p0库进行不安全的序列化。
  • CVE-2018-1000632:dom4j: XML Injection in Class:Element.Methods: addElement, addAttribute,可以影响XML文档的完整性。方法:addElement、addAttribute,可影响XML文档的完整性。
  • CVE-2019-9511undertow :HTTP/2:大量数据请求导致拒绝服务。
  • CVE-2019-9512undertow :HTTP/2:使用PING帧的洪水导致内存无限制增长
  • CVE-2019-9514undertow :HTTP/2:使用HEADERS帧的泛滥导致内存无限制的增长
  • CVE-2019-9515:undertow: HTTP/2: flood using SETTINGS frames results in unbounded memory growth.
  • CVE-2019-10219hibernate-validator :safeHTML验证器允许XSS存在
  • CVE-2019-19343:undertow: Undertow HttpOpenListener中的内存泄漏,由于无限期地保持远程连接。
  • CVE-2019-14838:wildfly-core: 'Monitor'、'Auditor'和'Deployer'用户的默认权限不正确。
  • CVE-2019-14885:JBoss EAP: Vault系统属性安全属性值在CLI'reload'命令中被泄露
  • CVE-2019-16869netty :HTTP头文件中冒号前的空格处理不当导致HTTP请求被走私
  • CVE-2019-16942jackson-databind :commons-dbcp包类中的序列化小工具。
  • CVE-2019-16943jackson-databind :commons-dbcp包类中的序列化小工具。