Open fouadsemaan opened 1 year ago
Seeing some additional CVEs as well, @seglo can you confirm that these are being tracked? Thanks in advance!
Java (jar)
Total: 9 (UNKNOWN: 0, LOW: 1, MEDIUM: 5, HIGH: 3, CRITICAL: 0)
┌──────────────────────────────────────────────────────────┬────────────────┬──────────┬───────────────────┬────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2022-42003 │ HIGH │ 2.13.3 │ 2.12.7.1, 2.13.4.1 │ jackson-databind: deep wrapper array nesting wrt │
│ (com.fasterxml.jackson.core.jackson-databind-2.13.3.jar) │ │ │ │ │ UNWRAP_SINGLE_VALUE_ARRAYS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-42003 │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2022-42004 │ HIGH │ 2.13.3 │ 2.12.7.1, 2.13.4 │ jackson-databind: use of deeply nested arrays │
│ (com.fasterxml.jackson.core.jackson-databind-2.13.3.jar) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-42004 │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http │ CVE-2022-41915 │ LOW │ 4.1.77.Final │ 4.1.86.Final │ Netty project is an event-driven asynchronous network │
│ (io.netty.netty-codec-http-4.1.77.Final.jar) │ │ │ │ │ application fram ... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41915 │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (org.yaml.snakeyaml-1.26.jar) │ CVE-2022-25857 │ HIGH │ 1.26 │ 1.31 │ snakeyaml: Denial of Service due to missing nested depth │
│ │ │ │ │ │ limitation for collections... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25857 │
│ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-38749 │ MEDIUM │ │ │ snakeyaml: Uncaught exception in │
│ │ │ │ │ │ org.yaml.snakeyaml.composer.Composer.composeSequenceNode │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-38749 │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (org.yaml.snakeyaml-1.26.jar) │ CVE-2022-38750 │ MEDIUM │ 1.26 │ 1.31 │ snakeyaml: Uncaught exception in │
│ │ │ │ │ │ org.yaml.snakeyaml.constructor.BaseConstructor.constructObj- │
│ │ │ │ │ │ ect │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-38750 │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (org.yaml.snakeyaml-1.26.jar) │ CVE-2022-38751 │ MEDIUM │ 1.26 │ 1.31 │ snakeyaml: Uncaught exception in │
│ │ │ │ │ │ java.base/java.util.regex.Pattern$Ques.match │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-38751 │
│ ├────────────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-38752 │ │ │ 1.32 │ snakeyaml: Uncaught exception in │
│ │ │ │ │ │ java.base/java.util.ArrayList.hashCode │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-38752 │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (org.yaml.snakeyaml-1.26.jar) │ CVE-2022-41854 │ MEDIUM │ 1.26 │ 1.32 │ dev-java/snakeyaml: DoS via stack overflow │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41854 │
└──────────────────────────────────────────────────────────┴────────────────┴──────────┴───────────────────┴────────────────────┴──────────────────────────────────────────────────────────────┘
CVE-2020-28491 - jackson-dataformat-cbor - Fixed version: 2.11.4 CVE-2022-43680 - expat - Fixed version: 2.5.0-r0 CVE-2022-42003 - jackson-databind - Fixed version: 2.13.4.1 CVE-2022-42004 - jackson-databind - Fixed version: 2.13.4 CVE-2022-25857 - snakeyaml - Fixed version: 1.31
The above CVEs were marked as HIGH by image scanner.