没有CVE影响工件的漏洞
以下是没有影响Artifactory的CVE且已修复的漏洞列表。
描述 | 严重程度 | 人工修复版本 |
---|---|---|
更新jackson-dataformats-binary 到版本2.12.3 。 |
高 | 7.21.3 |
排除了Plexus-cipher 图书馆。 |
媒介 | 7.21.3 |
升级om.nimbusds: oauth2-oidc-sdk: 6.14 9.9.3。 |
高 | 7.21.3 |
升级到wiremock-jre8 2.28.0版本。 |
高 | 7.21.3 |
升级maven-shared-utils: 3.2.1之上 到334版。 |
至关重要的 | 7.21.3 |
在某些情况下,通过身份验证的用户能够:
|
至关重要的 | |
在某些情况下,用户可以访问应用程序数据,否则这些数据应该只向管理员公开。 | 至关重要的 | 6.8.14, 6.9.3, 6.10.4 |
在某些情况下,未经授权的用户可能能够以另一个用户的身份向Artifactory发送格式不正确的REST API调用。 | 至关重要的 |
|
与SAML相关的身份验证漏洞可能会将Artifactory暴露给XSW攻击,这些攻击可能会嗅探和操纵SAML通信,导致对SAML登录响应的验证不正确。这可能会允许攻击者访问Artifactory中的任何用户。 | 高 | 6.5.13 |
cve不影响人工
以下是cve的列表不影响Artifactory。
CVE | 严重程度 | 人工修复版本 | 原因 |
---|---|---|---|
至关重要的 | 7.53.1 | 不影响Artifactory,因为它只影响 |
|
高 | 7.53.1 | 不影响Artifactory,因为它只影响 |
|
高 | 7.53.1 | 不影响Artifactory,因为它只影响 |
|
高 | 7.53.1 | 不影响Artifactory,因为它只影响 |
|
高 | 7.53.1 | 不影响Artifactory,因为它只影响 |
|
高 | 7.53.1 | 不影响Artifactory,因为它只影响 |
|
高 | 7.53.1 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.53.1 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.53.1 | 不影响Artifactory,因为它只影响 |
|
cve - 2022 - 45047 | 至关重要的 | 7.52.0 | 不影响Artifactory,因为它只影响Apache MINA SSHD 。 |
高 | 7.52.0 | 不影响Artifactory,因为它只影响SnakeYAML 。 |
|
cve - 2022 - 1552 | 高 | 7.52.0 | 不影响Artifactory,因为它只影响Postgres 。 |
cve - 2022 - 27664 | 高 | 7.52.0 | 不影响Artifactory,因为它只影响Golang 。 |
cve - 2022 - 41720 | 高 | 7.52.0 | 不影响Artifactory,因为它只影响Golang 。 |
cve - 2022 - 28948 | 高 | 7.52.0 | 不影响Artifactory,因为它只影响Go-yaml 。 |
cve - 2021 - 33194 | 高 | 7.52.0 | 不影响Artifactory,因为它只影响golang.org/x/net 。 |
高 | 7.52.0 | 不影响Artifactory,因为它只影响traefik 。 |
|
cve - 2022 - 31159 | 高 | 7.52.0 | 不影响Artifactory,因为它只影响aws-java-sdk 。 |
cve - 2022 - 40716 | 媒介 | 7.52.0 | 不影响Artifactory,因为它只影响hashicorp 。 |
cve - 2022 - 41915 | 媒介 | 7.52.0 | 不影响Artifactory,因为它只影响网状的 。 |
cve - 2022 - 38749 | 媒介 | 7.52.0 | 不影响Artifactory,因为它只影响SnakeYAML 和常见的 。 |
至关重要的 | 7.50.3 | 不影响Artifactory,因为它只影响 |
|
高 | 7.50.3 | 不影响神器,因为它只影响 |
|
cve - 2022 - 31197 | 高 | 7.50.3 | 不影响神器,因为它只影响 |
高 | 7.50.3 | 不影响神器,因为它只影响 |
|
高 | 7.49.3 | 不影响神器,因为它只影响 |
|
高 | 7.49.3 | 不影响Artifactory,因为它只影响升级 |
|
高 | 7.49.3 | 不影响Artifactory,因为它只影响 |
|
高 | 7.49.3 | 不影响Artifactory,因为它只影响 |
|
高 | 7.49.3 | 不影响Artifactory,因为它只影响 |
|
高 | 7.49.3 | 不影响Artifactory,因为它只影响 |
|
高 | 7.49.3 | 不影响Artifactory,因为它只影响 |
|
高 | 7.49.3 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.49.3 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.49.3 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.49.3 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.49.3 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.49.3 | 不影响Artifactory,因为它只影响logrotate |
|
至关重要的 | 7.47.7 | 不影响Artifactory,因为它只影响 |
|
至关重要的 | 7.47.7 | 不影响Artifactory,因为它只影响 |
|
至关重要的 | 7.47.7 | 不影响Artifactory,因为它只影响 |
|
高 | 7.47.7 | 不影响Artifactory,因为它只影响 |
|
高 | 7.47.7 | 不影响Artifactory,因为它只影响 |
|
高 | 7.47.7 | 不影响Artifactory,因为它只影响 |
|
cve - 2022 - 22970 | 高 | 7.46.3 | 不影响Artifactory,因为它只影响org.springframework: spring bean 。 |
媒介 | 7.47.7 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.47.7 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.47.7 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.47.7 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.47.7 | 不影响Artifactory,因为它只影响grpc-tools和 |
|
媒介 | 7.47.7 |
|
|
媒介 | 7.47.7 | 不影响Artifactory,因为它只影响grpc-tools 和grpc_tools_node_protoc_ts.golang.org/x/cryp 。 |
|
媒介 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
cve - 2022 - 31030 | 媒介 | 7.46.3 | 不影响Artifactory,因为它只影响containerd。 |
媒介 | 7.46.3 | 不影响Artifactory,因为它只影响org.springframework: spring上下文。 |
|
cve - 2022 - 31197 | 媒介 | 7.46.3 | 不影响Artifactory,因为它只影响org.postgresql: postgresql。 |
至关重要的 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
高 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
cve - 2022 - 22963 |
至关重要的 | 7.46.3 | 不影响Artifactory,因为它只影响 |
高 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
高 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
高 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
高 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.46.3 | 不影响Artifactory,因为它只影响netty:netty-common。 |
|
媒介 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
媒介 | 7.46.3 | 不影响Artifactory,因为它只影响 |
|
至关重要的 | 7.46.3 |
不影响Artifactory,因为它只影响 |
|
cve - 2022 - 22971 |
至关重要的 | 7.42.1 | 不影响Artifactory,因为它只影响spring核心。 |
高 | 7.42.1 | 不影响Artifactory,因为它只影响 |
|
高 | 7.41.4 | 不影响Artifactory,因为它只影响jackson-databind。 |
|
cve - 2022 - 24823 | 媒介 | 7.41.4 | 不影响Artifactory,因为它只影响 |
高 | 7.41.4 | 不影响Artifactory,因为它只影响 |
|
至关重要的 | 7.41.4 | 不影响Artifactory,因为它只影响spring核心。 |
|
高 | 7.41.4 | 不影响Artifactory,因为它只影响 |
|
至关重要的 | 7.39.4 | 不影响Artifactory,因为它只影响 |
|
高 | 7.39.4 | 不影响Artifactory,因为它只影响领事。 |
|
媒介 | 7.39.4 | 不影响Artifactory,因为它只影响containerd。 |
|
cve - 2022 - 27191 | 高 | 7.39.4 | 不影响Artifactory,因为它只影响golang.org/x/crypto/ssh。 |
高 | 7.39.4 | 不影响Artifactory,因为它只影响来containerd。 |
|
媒介 | 7.39.4 | 不影响Artifactory,因为它只影响nodejs 客户的axios。 |
|
媒介 | 7.37.13 | 不影响Artifactory,因为它只影响 |
|
cve - 2021 - 3807 |
高 | 7.37.13 | 不影响Artifactory,因为它只影响 |
cve - 2022 - 23806 | 至关重要的 | 7.37.13 | 不影响Artifactory,因为它只影响 |
cve - 2021 - 41090 |
媒介 | 7.35.1 | 不影响Artifactory,因为它只影响码头工人和 image-spec。 |
媒介 | 7.34.4 | 不影响Artifactory,因为它只影响org.springframework:spring-core:5.3.12。 |
|
媒介 | 7.31.10 | 不影响Artifactory,因为它只影响 |
|
cve - 2017 - 9506 | 媒介 | 7.31.10 | 不影响Artifactory,因为它只影响atlassian OAuth插件的IconUriServlet。 |
媒介 | 7.31.10 | 不影响Artifactory,因为它只影响mysql:mysql-connector-java:8.0.20。 | |
cve - 2021 - 42340 |
高 | 7.31.10 | 不影响Artifactory,因为它只影响Apache Tomcat版本: 9.0.48和8.5.73。 |
cve - 2020 - 13949 | 高 | 7.31.10 | 不影响Artifactory,因为它只影响jaege R 1.6.0使用节俭 0.14.1. |
cve - 2021 - 35560 |
高 | 7.31.10 | 不影响Artifactory,因为它只影响Java。 |
cve - 2021 - 36374 | 媒介 | 7.31.10 | 不影响Artifactory,因为它只影响 |
媒介 | 7.27.3 | 不影响Artifactory,因为它只影响Apache Tomcat。 | |
高 | 7.27.3 | 不影响Artifactory,因为它只影响org.elasticsearch: elasticsearch 。 |
|
高 | 7.27.3 | 不影响Artifactory,因为它只影响org.elasticsearch: elasticsearch 。 |
|
高 | 7.27.3 | 不影响Artifactory,因为它只影响org.elasticsearch: elasticsearch。 |
|
高 | 7.25.4 | 不影响Artifactory,因为它只影响org.apache.sshd: sshd-core: 2.6.0。 |
|
cve - 2017 - 18640 | 高 | 7.25.4 | 不影响Artifactory,因为它只影响1.23 XML实体扩展。 |
至关重要的 | 7.25.4 | 不影响Artifactory,因为它只影响json-smart-1.3.1。 |
|
cve - 2021 - 27568 | 至关重要的 | 7.25.4 | 不影响Artifactory,因为它只影响json-smart-1.3.1。 |
正常的 | 7.24.1 | 不影响Artifactory,因为它只影响Maven 3.8.1版本。 |
|
高 | 7.24.1 | 不影响Artifactory,因为它只影响Apache Velocity引擎。 |
|
cve - 2018 - 9116 | 至关重要的 | 7.23.3 | 不影响Artifactory,因为它只影响wiremock。 |
至关重要的 | 7.21.3 | 不影响Artifactory,因为它只影响 |
|
高 | 7.21.3 | 不影响Artifactory,因为它只影响Apache Maven。 |
|
媒介 | 7.21.3 | 不影响Artifactory,因为它只影响netty-codec-http: 4.1.53.final。 |
|
媒介 | 7.21.3 | 不影响Artifactory,因为它只影响org.codehaus.groovy: groovy-all。 |
|
高 | 7.17.4 | 不影响Artifactory,因为它只影响Spring安全Web。 |
|
cve - 2019 - 17571 |
媒介 | 7.15.3 | 不影响Artifactory,因为它只影响log4j-to-slf4j 和log4j api。 |
高 | 7.11.1 |
不影响Artifactory,因为它只影响h |
|
媒介 | 7.11.1 |
不影响Artifactory,因为它只影响so |
|
高 | 7.11.1 |
不影响Artifactory,因为它只影响 |
|
高 | 7.11.1 | 不影响Artifactory,因为它只影响 |
|
高 | 7.10.5 |
不影响Artifactory,因为它只影响 bcprov-jdk15。
|
|
高 | 7.10.5 | 不影响Artifactory,因为它只影响atcryptacular-1.1.1.jar。 |
|
cve - 2020 - 7692 | 至关重要的 | 7.10.2 | 不影响Artifactory,因为它只影响google-oauth-client 图书馆。 |
媒介 | 7.10.1 | 不影响Artifactory,因为它只影响Commons-compress 图书馆。 |
|
媒介 | 7.10.1 | 不影响Artifactory,因为它只影响Commons-compress 图书馆。 |
|
高 | 7.10.1 | 不影响Artifactory,因为它只影响去 1.14.9. |
|
高 | 7.10.1 | 不影响Artifactory,因为它只影响人群自由。 |
|
高 | 7.10.1 |
不影响Artifactory,因为它只影响 |
|
高 | 7.10.1 |
不影响Artifactory,因为它只影响 |
|
至关重要的 | 7.10.1 |
不影响Artifactory,因为它只影响 |
|
高 | 7.9.0 | 不影响人工,因为它只影响lodash。 | |
cve - 2020 - 1745 | 至关重要的 | 7.9.0 | 不影响Artifactory,因为它只影响io。2.0.15.Final。 |
cve - 2017 - 15095 | 至关重要的 | 7.8.1 | 不影响Artifactory,因为它只影响fge: jackson-coreutils: jar 。 |
cve - 2017 - 17485 | 至关重要的 | 7.8.1 | 不影响Artifactory,因为它只影响fge: jackson-coreutils: jar 。 |
cve - 2017 - 7525 | 至关重要的 | 7.8.1 | 不影响Artifactory,因为它只影响fge: jackson-coreutils: jar 。 |
cve - 2020 - 13935 | 高 | 7.7.0 | 不影响Artifactory,因为它只影响Apache Tomcat 。 |
高 | 7.7.0 | 不影响Artifactory,因为它只影响Apache Tomcat 。 |
|
cve - 2020 - 11996 | 高 | 7.7.0 | 不影响Artifactory,因为它只影响Apache Tomcat 。 |
至关重要的 | 6.23.25 | 不影响Artifactory,因为它只影响npm lodash 图书馆 |
|
cve - 2022 - 30591 | 高 | N/A | JFrog Artifactory不受影响,因为它不使用quic-go 通过0.27.0。 |
cve - 2022 - 42889 | 至关重要的 | N/A | JFrog平台不是受影响,因为它不使用受影响的包。 |
cve - 2016 - 1000027 | 至关重要的 | N/A | 不影响人工,自它不使用impactHttpInvokerServiceExporter 提供远程访问的组件。 |
cve - 2022 - 34305 | 媒介 | N/A | 不影响Artifactory,因为它不使用Apache Tomcat版本中包含的受影响组件。 |
cve - 2022 - 29885 | 高 | N/A | 不影响Artifactory,因为它不使用Apache Tomcat版本中包含的受影响组件。 |
cve - 2018 - 10892 | 高 | N/A | 不影响工艺品,只自Traefik 使用它,因此只有当Docker Provider被打开时才适用,而Artifactory中不是这样。 |
cve - 2020 - 0187 | 媒介 | N/A | 不影响Artifactory,因为它只影响Android平台。 |
cve - 2020 - 0187 | 媒介 | N/A | 不影响Artifactory,因为它只影响Android平台。 |
N/A | 媒介 | N/A | 不影响Artifactory,因为它只在使用Apache Sling时适用,而在Artifactory中不是这样。 |
N/A | 媒介 | N/A | 不影响Artifactory,因为它只影响SSLServerSocketAppender 和{{SSLSocketAppender}} |
cve - 2017 - 7536 | 高 | N/A | 不影响Artifactory,因为Artifactory没有使用org.hibernate_hibernate-validator 。 |
cve - 2020 - 9484 | 高 | N/A | 不影响Artifactory,因为如果Tomcat配置了PersistenceManager,则可以利用该漏洞,而Artifactory不使用PersistenceManager。 |
cve - 2019 - 11888 | 高 | N/A | 这个CVE应该会影响六号人工制品。x版本。的golang /去 库是元数据服务的一部分,在Artifactory 6中没有启用。x版本。 |
cve - 2019 - 14809 | 高 | N/A | 这个CVE应该会影响六号人工制品。x版本。的golang /去 库是元数据服务的一部分,在Artifactory 6中没有启用。x版本。 |
cve - 2019 - 0232 | 高 | N/A | 的enableCmdLineArguments 参数没有在与Artifactory绑定的Apache Tomcat中启用。 |
cve - 2018 - 8014 | 高 | N/A | JFrog Apache Tomcat的版本是8.5.32,它不是易受攻击的版本之一。 |
cve - 2018 - 1275 | 高 | N/A | 的JFrogSpring框架 版本号为4.1.8,不支持该版本,容易受到CVE的攻击。但是,由于JFrog没有实现STOMP代理,因此我们不会暴露于此漏洞 |
媒介 | N/A | JFrog不对Windows操作系统中的漏洞负责。任何使用本地环境的人都应该使Windows操作系统保持最新状态。 | |
cve - 2018 - 11776 | 高 | N/A | 不影响Artifactory,因为JFrog不使用Apache Struts。 |
cve - 2018 - 5925 | 高 | N/A | 不影响Artifactory,因为该问题与某些HP喷墨打印机有关,而与JFrog无关。 |
cve - 2018 - 5924 | 高 | N/A | 不影响Artifactory,因为该问题与某些HP喷墨打印机有关,而与JFrog无关。 |
cve - 2018 - 5382 | 高 | N/A | 不影响Artifactory,既然JFrog不使用BKS-V1密钥存储库 。 |
cve - 2018 - 1260 | 高 | N/A | 不影响Artifactory,既然JFrog不使用春季安全证书 。 |
cve - 2018 - 1259 | 高 | N/A | 不影响Artifactory,既然JFrog不使用Spring数据共享 。 |
cve - 2017 - 5664 | 高 | N/A |
不影响Artifactory,因为默认值为 只读的 DefaultServlet中的属性是“真正的“(readOnly = true) 在我们的环境中。正如在CVE,你只有脆弱:“……如果DefaultServlet被配置为允许写……” |
cve - 2017 - 5648 | 至关重要的 | N/A |
不影响人工,既然 tomcat webapps / 文件夹只包含捆绑的Tomcat发行版使用的Artifactory WAR和Access WAR文件。 |
cve - 2017 - 5647 | 高 | N/A | 不影响Artifactory,因为这个问题只涉及到Artifactory没有使用的“发送文件”服务。 |
cve - 2017 - 5638 | 至关重要的 | N/A | Artifactory是不受Apache Struts 2漏洞影响。 |
CVE-2014-0097年 | 高 | N/A | 对于LDAP认证,Artifactory严格使用ArtifactoryLdapAuthenticationProvider 类,该类使用ArtifactoryLdapAuthenticator ,包装ArtifactoryBindAuthenticator 。后一个类用于执行实际的身份验证并检查对于空密码。
Artifactory不使用任何其他LDAP提供程序,例如
ActiveDirectoryLdapAuthenticationProvider 。这JIRA问题指旧的类名,ActiveDirectoryLdapAuthenticator ,这不是Spring Security和Artifactory的一部分。 |
cve - 2008 - 4108 | 高 | N/A | 不影响Artifactory,既然ArtifactoryJfrog不需要安装Python;CVE与Jfrog无关。 |
cve - 2005 - 2541 | 高 | N/A | 不影响Artifactory,既然Artifactory使用焦油 1.30.1. |
洞察力
CVEs影响洞察
以下是发现的影响Insight并已修复的cve列表。
CVE | 严重程度 | Insight Fix版本 |
修复描述 |
---|---|---|---|
cve - 2022 - 45143 | 高 | 1.13.3 | tomcat-embed-core ,已升级到9.0.69版本。 |
cve - 2022 - 31692 | 至关重要的 | 1.13.0 | 升级 升级 |
cve - 2022 - 23181 | 高 | 1.7.0 | tomcat-embed-core ,已升级到9.0.58版本。 |
cve - 2021 - 22060 | 媒介 | 1.6.0 | 升级spring web 版本5.3.14。 |
cve - 2021 - 42550 | 媒介 | 1.5.0 | 升级logback 版本来1.2.9。 |
cve - 2021 - 22096 | 媒介 | 1.4.0 | 升级spring web 版本5.3.12。 |
cve不会影响洞察力
CVE | 严重程度 | Insight Fix版本 | 原因 |
---|---|---|---|
cve - 2022 - 41915 | 媒介 | 1.13.3 | 升级netty-codec-http: 4.1.68.Final 来 。 |
cve - 2022 - 42003 | 高 | N/A | 升级 |
cve - 2022 - 3171 | 高 | N/A | 不影响Insight,因为它只影响protobuf-java。 |
cve - 2022 - 42252 | 高 | N/A | 升级Tomcat 到9.0.69版本。 |
cve - 2019 - 13990 | 高 | N/A | 升级quartz-scheduler 到2.3.2版本。 |
cve - 2022 - 25857 | 高 | 1.12.1 | SnakeYAML 已从1.30版本升级到1.31版本。 |
cve - 2022 - 31197 | 高 | 1.12.0 | PostgreSQL JDBC驱动(pgjdbc) 已从42.3.3版本升级到42.4.1版本 |
cve - 2022 - 23708 | 媒介 | 1.11.3 | Elasticsearch 已从版本7.16.3升级到版本7.17.1。 |
cve - 2021 - 31684 | 高 | 1.5.0 | 升级json-smart 到1.3.3版本。 |
cve - 2021 - 21290 | 媒介 | 1.4.0 | 升级netty-codec-http: 4.1.53.final 来4.1.59.Final 。 |
cve - 2022 - 22970 | 媒介 | 1.11.3 | spring-bootcore ,已从2.6.7版本升级到2.7.0版本。 |
cve - 2022 - 22968 | 高 | 1.10.2 | spring-bootcore ,已从2.6.6版本升级到2.6.7版本。 |
cve - 2020 - 36518 | 高 | 1.10.1 | jackson-databind ,已升级到2.13.2.1版本。 |
cve - 2022 - 22965 | 至关重要的 | 1.8.1 | sprint-bootcore ,已从2.6.2版本升级到2.6.6版本。 |
cve - 2022 - 21724 | 至关重要的 | 1.6.2 | pgjdbc PostgreSQL官方JDBC驱动升级到42.2.25版本。 |
cve - 2021 - 22569 | 高 | 1.6.2 | 的protobuf-java 组件已升级到3.19.2版本。 |
cve - 2020 - 25649 | 高 | N/A | 使用库的Searchguard TLS工具仅供系统管理员在本地使用,用于在安装期间生成TLS证书。因此,它只运行在可信数据上,因此不会受到此漏洞的影响。 |
分布
cve不会影响发行
以下是cve的列表不分布的影响。
CVE | 严重程度 | 发布修复版本 | 原因 |
---|---|---|---|
cve - 2022 - 21222 | 高 | N/A | 此依赖项仅在开发过程中使用,而不包括在最终产品部署中。 |
cve - 2022 - 45143 | 高 | N/A | 分发版不使用易受攻击的API。 |
媒介 | N/A | 将驱动程序更新到42.5.1修复了此漏洞。 | |
cve - 2022 - 42889 | 至关重要的 | N/A | 升级到固定版本,尽管Distribution不使用易受攻击的API。 |
cve - 2022 - 31692 | 至关重要的 | N/A | 升级到固定版本。 |
cve - 2022 - 3171 | 高 | N/A | 升级到固定版本。 |
cve - 2022 - 42004 | 高 | N/A | 升级到固定版本。 |
cve - 2022 - 38750 | 媒介 | N/A | 升级到固定版本。 |
cve - 2022 - 38749 | 媒介 | N/A | 升级到固定版本。 |
cve - 2022 - 1471 | 至关重要的 | N/A | 不影响分布,因为分布不使用可能有害的构造函数。 |
cve - 2022 - 42252 | 高 | N/A | 不影响发行版,因为产品使用Tomcat版本9.0.58,没有重新定义rejectIllegalHeader ,因此其有效值为“true”(默认值)。 |
cve - 2016 - 1000027 | 至关重要的 | N/A | D不影响分配因为Distribution没有使用易受攻击的API。 |
cve - 2022 - 22978 | 高 | N/A | 升级spring-security-web 到5.7.0版本。 |
cve - 2022 - 22968 | 媒介 | N/A | 升级spring上下文 版本5.3.21。 |
cve - 2022 - 22970 | 媒介 | N/A | 升级spring bean 版本5.3.21。 |
cve - 2021 - 21309 | 至关重要的 | N/A | 不影响分发版,因为分发版使用64位Redis,这个问题只影响32位系统或运行在64位系统上的32位Redis可执行文件。 |
cve - 2022 - 24785 | 高 | 2.12.3 | Moment.js 是一个JavaScript日期库,用于解析、验证、操作和格式化日期。路径遍历漏洞影响npm(服务器)用户Moment.js 在1.0.1和2.29.1版本之间,特别是如果用户提供的区域设置字符串直接用于切换时刻区域设置。此问题已在2.29.2中修复,该补丁可应用于所有受影响的版本。作为一种解决方法,在将用户提供的区域设置名称传递给Moment.js 。 |
cve - 2022 - 21724 | 媒介 | 2.12.0 | pgjdbc ,官员PostgreSQL JDBC 驱动程序,已升级到42.2.25版本。 |
cve - 2021 - 42550 | 媒介 | 2.11.0 | 升级了logback.xml 到1.2.9版本。 |
cve - 2022 - 24823 | 媒介 | N/A | 不影响发行版,因为该漏洞只影响在Java版本6及更低版本上运行的应用程序。 |
任务控制
cve不会影响任务控制
CVE | 严重程度 | 任务控制修复版本 | 原因 |
---|---|---|---|
cve - 2021 - 37136 | 高 | 4.7.15 | 升级netty-codec 4.1.68.Final。 |
cve - 2021 - 22149 | 高 | 4.7.14 | 升级Elasticsearch 7.14.0。 |
cve - 2021 - 22148 | 高 | 4.7.14 | 升级Elasticsearch 7.14.0。 |
cve - 2021 - 22147 | 媒介 | 4.7.14 | 升级Elasticsearch 7.14.0。 |
cve - 2021 - 31684 | 高 | 4.7.13 | 升级Apache HttpClient 到4.5.13版本。 |
cve - 2021 - 22112 | 高 | 4.7.13 | 升级spring-security-web 版本5.4.4。 |
cve - 2020 - 13956 | 媒介 | 4.7.13 | 升级json-smart 版本2.4.7。 |
cve - 2021 - 35517 | 高 | 4.7.11 | 升级common-compress 到1.2.1版本。 |
cve - 2021 - 27568 | 至关重要的 | 4.7.11 | 升级json-smart 版本2.4.7。 |
cve - 2020 - 28052 | 高 | 4.7.11 | 升级bc-java 版本1.6.7。 |
cve - 2020 - 8908 | 低 | N/A | 不影响任务控制,因为JFrog不使用com.google.common.io.Files.createTempDir () 函数。 |
没有CVE影响任务控制的漏洞
以下是没有影响任务控制的CVE且已修复的漏洞列表。
修复描述 | 严重程度 | 任务控制修复版本 |
---|---|---|
更新netty-codec到版本4.1.66.Final。 | 至关重要的 | 4.7.11 |
没有CVE的漏洞不会影响任务控制
以下是没有CVE且不影响任务控制的漏洞列表。
修复描述 | 严重程度 | 任务控制修复版本 |
---|---|---|
Flyway不安全日志本地密码泄露( |
高 | “不受影响”第三方包:默认日志级别为“WARN”。 |
管道
cve对管道的影响
CVE | 严重程度 | 管道修复版本 | 原因 |
---|---|---|---|
cve - 2022 - 24921 | 高 | 1.27.0 | 用户可以在一个步骤中使用jfrog cli导致堆栈耗尽,但这只会导致一个步骤失败。 |
cve - 2022 - 30634 | 高 | 1.27.0 | Jfrog cli防止用户传递最大缓冲区。 |
cve - 2022 - 0235 | 媒介 | 1.24.0 | 删除了节点获取依赖。 |
cve不影响管道
以下是cve的列表不影响管道。
CVE | 严重程度 | 管道修复版本 | 原因 |
---|---|---|---|
cve - 2021 - 43138 | 高 | N/A | 不影响管道。从管道构建代理中删除了不必要的依赖项。 |
cve - 2021 - 41248 | 高 | N/A | 不影响管道。从管道构建代理中删除了不必要的依赖项。 |
高 | 1.25.1 | 升级node . js 到16.16.0版本。 |
|
cve - 2022 - 32213 | 至关重要的 | 1.25.1 | 升级node . js 到16.16.0版本。 |
cve - 2022 - 32214 | 至关重要的 | 1.25.1 | 升级node . js 到16.16.0版本。 |
cve - 2022 - 32215 | 至关重要的 | 1.25.1 | 升级node . js 到16.16.0版本。 |
cve - 2022 - 32223 | 高 | 1.25.1 | 升级node . js 到16.16.0版本。 |
cve - 2021 - 23343 | 高 | 1.20.2 | 不影响管道,因为 |
cve - 2021 - 3918 | 至关重要的 | 1.20.2 | 不影响管道。虽然脆弱的图书馆 |
cve - 2021 - 23358 | 高 | 1.20.2 | 不影响管道,因为 |
cve - 2022 - 25648 | 高 | N/A | 不影响管道作为核心服务控制什么命令被传递到git命令。 |
没有CVE的漏洞不会影响管道
以下是没有CVE且不影响pipeline的漏洞列表
描述 | 严重程度 | 管道修复版本 | 原因 |
---|---|---|---|
防止 |
媒介 | 1.23.2 |
|
原型污染缺陷 |
高 | 1.20.2 | 不影响管道,因为 |
原型污染缺陷node-forge 0.10.0 |
至关重要的 | N/A | 不影响管道,因为管道和win-ca 不调用易受攻击的调试函数。 |
前端
没有CVE的漏洞不会影响前端
以下是没有CVE且不影响Frontend的漏洞列表
描述 | 严重程度 | 原因 |
---|---|---|
原型污染缺陷node-forge 0.10.0 |
至关重要的 | 不影响前端,因为前端和selfsigned 不调用易受攻击的调试函数。 |
x光
cve影响x射线
以下是发现影响Xray并已修复的cve列表。
CVE | 严重程度 | x射线修复版本 |
修复描述 |
---|---|---|---|
cve - 2022 - 31030 | 媒介 | 3.60.2 | 升级github.com/containerd/containerd 版本1.5.13. |
cve - 2022 - 28948 | 高 | 3.60.2 | 升级gopkg.in / yaml.v3:3.0.0 - 20200313102051 版本为gopkg.in/yaml.v3:3.0.1。 |
cve - 2022 - 27664 | 高 | 3.60.2 3.61.5 |
升级golang.org/x/net v0.0.0 - 20220722155237 到golang.org/x/net 0.1.0版本升级 golang.org/x/sys v0.0.0 - 20220722155237 到golang.org/x/sys v0.1.0升级 golang.org/x/net v0.3.7 到golang.org/x/text v0.4.0。 |
cve - 2022 - 32149 | 高 | 3.60.2 | 升级从0.3.7到0.3.8。 |
cve - 2022 - 32189 | 高 | 3.59.4 | 升级Golang 版本到1.18.5。 |
cve - 2021 - 38197 | 至关重要的 | 3.57.6 | 升级go-unarr 库到v0.1.4版本。 |
cve - 2022 - 29526 | 媒介 | 3.55.2 | 升级Golang 版本1.18.4. |
cve - 2022 - 30634 | 高 | 3.55.2 | 升级Golang 版本1.18.4. |
cve - 2022 - 30632 | 高 | 3.55.2 | 升级Golang 版本1.18.4. |
cve - 2022 - 30630 | 高 | 3.55.2 | 升级Golang 版本1.18.4. |
cve - 2022 - 30631 | 高 | 3.55.2 | 升级Golang 版本1.18.4. |
cve - 2022 - 24769 | 媒介 | 3.54.5 | 升级Containerd 版本1.5.11. |
cve - 2022 - 29526 | 媒介 | 3.54.5 | 升级到Golang 版本号为1.17.11。 |
cve - 2022 - 23806 | 至关重要的 | 3.50.3 | 升级JFrog路由器版本到7.39.0。 |
cve - 2022 - 27191 | 高 | 3.49.0 | 升级golang.org/x/crypto v0.0.0 - 20220314234659 - 1 - baeb1ce4c0。 |
高 | 3.48.2 | 升级Golang 版本为1.17.9。 |
|
cve - 2022 - 24921 | 高 | 3.48.2 | 升级Golang 版本为1.17.9。 |
至关重要的 | 3.42.3 | 升级Containerd 版本到1.5.9。 |
|
cve - 2021 - 44717 | 媒介 | 3.41.4 | 升级Golang 版本到1.17.5。 |
cve - 2021 - 44716 | 高 | 3.41.4 | 升级Golang 版本到1.17.5。 |
cve - 2021 - 41771 | 高 | 3.38.1 | 升级Golang 版本为1.17.3。 |
cve - 2021 - 33196 | 高 | 3.34.1 | 升级Golang 版本到1.15.13,1.16.5。 |
x光
cve不影响x射线
以下是cve的列表不影响x光。
CVE | 严重程度 | x射线修复版本 |
修复描述 |
---|---|---|---|
cve - 2021 - 38197 | 至关重要的 | 3.57.6 | 升级go-unarr 库到v0.1.4版本。 |