云客户?
免费开始>
在MyJFrog中升级>
云的新功能>







Artifactory

cve影响人工制品

以下是发现的影响Artifactory的cve列表固定

CVE 严重程度
人工修复版本
修复描述

cve - 2022 - 38751

cve - 2022 - 38752

媒介 7.52.0 升级SnakeYAML到版本1.31.
cve - 2022 - 32213 至关重要的 7.41.7 升级node . js到16.16.0版本。
cve - 2022 - 32214 至关重要的 7.41.7 升级node . js到16.16.0版本。
cve - 2022 - 32215 至关重要的 7.41.7 升级node . js到16.16.0版本。
cve - 2022 - 32223 至关重要的 7.41.7 升级node . js到16.16.0版本。

cve - 2021 - 22573

7.41.4

升级了google-oauth-client版本1.33.3。

cve - 2022 - 32212

至关重要的 7.39.10 升级node . js到16.16.0版本。
cve - 2022 - 32213 至关重要的 7.39.10 升级node . js到16.16.0版本。
cve - 2022 - 32214 至关重要的 7.39.10 升级node . js到16.16.0版本。
cve - 2022 - 32215 至关重要的 7.39.10 升级node . js到16.16.0版本。
cve - 2022 - 32223 至关重要的 7.39.10 升级node . js到16.16.0版本。

cve - 2022 - 32212

至关重要的 7.38.16 升级node . js到16.16.0版本。
cve - 2022 - 32213 至关重要的 7.38.16 升级node . js到16.16.0版本。
cve - 2022 - 32214 至关重要的 7.38.16 升级node . js到16.16.0版本。
cve - 2022 - 32215 至关重要的 7.38.16 升级node . js到16.16.0版本。
cve - 2022 - 32223 至关重要的 7.38.16 升级node . js到16.16.0版本。

cve - 2022 - 32212

至关重要的 7.37.17 升级node . js到16.16.0版本。
cve - 2022 - 32213 至关重要的 7.37.17 升级node . js到16.16.0版本。
cve - 2022 - 32214 至关重要的 7.37.17 升级node . js到16.16.0版本。
cve - 2022 - 32215 至关重要的 7.37.18 升级node . js到16.16.0版本。
cve - 2022 - 32223 至关重要的 7.37.17 升级node . js到16.16.0版本。
cve - 2021 - 38561 7.37.13

升级内部/语言/ parse.go版本0.3.6到版本0.3.7。

cve - 2021 - 41091

媒介 7.35.1 升级到码头工人v20.10.9。
升级image-spec v.1.0.2。

cve - 2021 - 3765

7.31.10

升级了验证器版本到13.6.0。

cve - 2020 - 29582

媒介 7.25.4
(云)
更新到最新版本穆锐从版本1.3.50到1.5.20。

cve - 2019 - 20104

7.24.1

升级人群版本为3.7.2。

cve - 2020 - 14340

媒介 7.21.3 升级org.jboss.xnio: xnio-nio到版本3.8.4.Final。
7.17.4

升级到Apache Tomcat8.5.63版本。

媒介 7.15.3

升级org.hibernate: hibernate验证框架到6.0.18版本。

cve - 2017 - 18214 6.23.25 npm moment.js库已升级到2.19.3版本。
cve - 2017 - 18640 6.23.0 升级snakeyaml-1.23.jar从1.26版本到1.27版本。
cve - 2020 - 7692 至关重要的 6.23.0 升级google-oauth-client从1.27版本到1.31版本的库。

cve - 2019 - 12402

媒介 6.23.0 升级Commons-compressLib已升级到1.20版本。
cve - 2020 - 15586和Go问题golang.org/issue/34902 6.23.0 升级到最新版本的1.14.9.
cve - 2019 - 20104 6.23.0 升级人群中自由到3.7.2版本。
cve - 2018 - 1000206 6.1 的实际值进行验证X-Request-With头,而不是检查它是否存在。
页面内容


没有CVE影响工件的漏洞

以下是没有影响Artifactory的CVE且已修复的漏洞列表。

描述 严重程度 人工修复版本
更新jackson-dataformats-binary到版本2.12.3 7.21.3
排除了Plexus-cipher图书馆。 媒介 7.21.3
升级om.nimbusds: oauth2-oidc-sdk: 6.149.9.3。 7.21.3
升级到wiremock-jre82.28.0版本。

7.21.3

升级maven-shared-utils: 3.2.1之上到334版。 至关重要的 7.21.3
在某些情况下,通过身份验证的用户能够:
  • 从Artifactory检索通常需要管理权限的环境信息。
  • 在没有执行这些操作的足够权限的情况下,将来自不同上游的二进制文件部署到Artifactory。
至关重要的

6.13.3、6.14.4 6.15.2、6.16.2 6.17.1,6.18.1 7.3.2

在某些情况下,用户可以访问应用程序数据,否则这些数据应该只向管理员公开。 至关重要的 6.8.14, 6.9.3, 6.10.4
在某些情况下,未经授权的用户可能能够以另一个用户的身份向Artifactory发送格式不正确的REST API调用。 至关重要的
  • 5.6.8, 5.7.3, 5.8.12, 5.9.8, 5.10.5, 5.11.5

  • 6.0.4, 6.1.4, 6.2.1, 6.3.4, 6.4.2, 6.5.9

与SAML相关的身份验证漏洞可能会将Artifactory暴露给XSW攻击,这些攻击可能会嗅探和操纵SAML通信,导致对SAML登录响应的验证不正确。这可能会允许攻击者访问Artifactory中的任何用户。 6.5.13

cve不影响人工

以下是cve的列表影响Artifactory。

CVE 严重程度 人工修复版本 原因

cve - 2021 - 26291

至关重要的 7.53.1

不影响Artifactory,因为它只影响Apache Maven

cve - 2022 - 42898

7.53.1

不影响Artifactory,因为它只影响krb5-libs

cve - 2022 - 32149

7.53.1

不影响Artifactory,因为它只影响Golang

cve - 2022 - 23539

cve - 2022 - 23529

7.53.1

不影响Artifactory,因为它只影响jsonwebtoken

cve - 2022 - 4065

7.53.1

不影响Artifactory,因为它只影响testng

cve - 2022 - 41716

7.53.1

不影响Artifactory,因为它只影响Golang

cve - 2022 - 27664

7.53.1

不影响Artifactory,因为它只影响Golang

cve - 2022 - 31030

媒介 7.53.1

不影响Artifactory,因为它只影响Containerd

cve - 2022 - 41854

媒介 7.53.1

不影响Artifactory,因为它只影响SnakeYAML

cve - 2022 - 45047 至关重要的 7.52.0 不影响Artifactory,因为它只影响Apache MINA SSHD

cve - 2022 - 25857

cve - 2022 - 1471

7.52.0 不影响Artifactory,因为它只影响SnakeYAML
cve - 2022 - 1552 7.52.0 不影响Artifactory,因为它只影响Postgres
cve - 2022 - 27664 7.52.0 不影响Artifactory,因为它只影响Golang
cve - 2022 - 41720 7.52.0 不影响Artifactory,因为它只影响Golang
cve - 2022 - 28948 7.52.0 不影响Artifactory,因为它只影响Go-yaml
cve - 2021 - 33194 7.52.0 不影响Artifactory,因为它只影响golang.org/x/net

cve - 2022 - 39271

GHSA-c6hx-pjc3-7fqr

7.52.0 不影响Artifactory,因为它只影响traefik
cve - 2022 - 31159 7.52.0 不影响Artifactory,因为它只影响aws-java-sdk
cve - 2022 - 40716 媒介 7.52.0 不影响Artifactory,因为它只影响hashicorp
cve - 2022 - 41915 媒介 7.52.0 不影响Artifactory,因为它只影响网状的
cve - 2022 - 38749 媒介 7.52.0 不影响Artifactory,因为它只影响SnakeYAML常见的

cve - 2022 - 32190

至关重要的 7.50.3

不影响Artifactory,因为它只影响

cve - 2022 - 37866

7.50.3

不影响神器,因为它只影响org.apache.ivy:常春藤

cve - 2022 - 31197 7.50.3

不影响神器,因为它只影响org.postgresql: postgresql

cve - 2016 - 5425

cve - 2016 - 6325

7.50.3

不影响神器,因为它只影响tomcat jdbc

cve - 2022 - 42003

cve - 2022 - 42004

7.49.3

不影响神器,因为它只影响java共享

cve - 2022 - 25857

7.49.3

不影响Artifactory,因为它只影响升级snakeyaml

cve - 2022 - 40151

7.49.3

不影响Artifactory,因为它只影响woodstox-core

cve - 2022 - 32149

7.49.3

不影响Artifactory,因为它只影响golang

cve - 2022 - 27664

7.49.3

不影响Artifactory,因为它只影响

GHSA-3mc7-4q67-w48m

ghsa - 98 - wm - 3 - w3q mw94

GHSA-9w3m-gqgf-c4p9

GHSA-c4r9-r8fh-9vj2

ghsa hhhw - 99 gj - p3c3

7.49.3

不影响Artifactory,因为它只影响snakeyaml

cve - 2022 - 3171

7.49.3

不影响Artifactory,因为它只影响protobuf-java

cve - 2022 - 42003

cve - 2022 - 42004

GHSA-jjjh-jjxp-wpff

GHSA-rgv9-q543-rqg4

7.49.3

不影响Artifactory,因为它只影响jackson-databind

cve - 2022 - 29526

媒介 7.49.3

不影响Artifactory,因为它只影响yq

cve - 2022 - 3171

媒介 7.49.3

不影响Artifactory,因为它只影响io.grpc:: grpc - *

cve - 2022 - 36033

媒介 7.49.3

不影响Artifactory,因为它只影响jsoup

cve - 2022 - 38752

媒介 7.49.3

不影响Artifactory,因为它只影响下议院

cve - 2022 - 1348

媒介 7.49.3 不影响Artifactory,因为它只影响logrotate

cve - 2019 - 20444

cve - 2019 - 20445

cve - 2019 - 16869

至关重要的 7.47.7

不影响Artifactory,因为它只影响software.amazon.awssdk: licensemanager


cve - 2021 - 26291

至关重要的 7.47.7

不影响Artifactory,因为它只影响org.apache.maven.maven-project

cve - 2022 - 1962

cve - 2022 - 28131

cve - 2022 - 30633

cve - 2022 - 30635

至关重要的 7.47.7

不影响Artifactory,因为它只影响snakeyaml

cve - 2021 - 44906

7.47.7

不影响Artifactory,因为它只影响grpc-tools

cve - 2021 - 3807

7.47.7

不影响Artifactory,因为它只影响grpc-tools和grpc_tools_node_protoc_ts

cve - 2022 - 25857

7.47.7

不影响Artifactory,因为它只影响snakeyaml

cve - 2022 - 22970 7.46.3 不影响Artifactory,因为它只影响org.springframework: spring bean

cve - 2022 - 24823

媒介 7.47.7

不影响Artifactory,因为它只影响io.netty

cve - 2020 - 7789

媒介 7.47.7

不影响Artifactory,因为它只影响
grpc-tools和grpc_tools_node_protoc_ts

cve - 2022 - 0235

媒介 7.47.7

不影响Artifactory,因为它只影响grpc-toolsgrpc_tools_node_protoc_ts

cve - 2022 - 30187

媒介 7.47.7

不影响Artifactory,因为它只影响azure-storage-blobandvazure-core-http-okhttp

cve - 2020 - 7608

媒介 7.47.7

不影响Artifactory,因为它只影响grpc-tools和
grpc_tools_node_protoc_ts

cve - 2022 - 25878

媒介 7.47.7

不影响Artifactory,因为它只影响grpc-tools
grpc_tools_node_protoc_ts

cve - 2022 - 27191

媒介 7.47.7 不影响Artifactory,因为它只影响grpc-tools
grpc_tools_node_protoc_ts.golang.org/x/cryp

cve - 2022 - 27191

媒介 7.46.3

不影响Artifactory,因为它只影响golang.org/x/crypto/ssh

cve - 2022 - 31030 媒介 7.46.3 不影响Artifactory,因为它只影响containerd。

cve - 2022 - 22968

媒介 7.46.3 不影响Artifactory,因为它只影响org.springframework: spring上下文。
cve - 2022 - 31197 媒介 7.46.3 不影响Artifactory,因为它只影响org.postgresql: postgresql。

cve - 2021 - 37136

cve - 2021 - 37137

至关重要的 7.46.3

不影响Artifactory,因为它只影响io.netty: netty-codec: 4.1.63。

cve - 2020 - 36518

7.46.3

不影响Artifactory,因为它只影响jackson-databind。

cve - 2022 - 22963

至关重要的 7.46.3

不影响Artifactory,因为它只影响spring核心5.3.18.

cve - 2022 - 2048

7.46.3

不影响Artifactory,因为它只影响org.eclipse.jetty。

cve - 2022 - 31159

7.46.3

不影响Artifactory,因为它只影响aws-java-sdk。

cve - 2021 - 3807

7.46.3

不影响Artifactory,因为它只影响jest-junitansi-regex。

cve - 2020 - 28469

7.46.3

不影响Artifactory,因为它只影响glob-parent。

cve - 2021 - 20066

媒介 7.46.3

不影响Artifactory,因为它只影响笑话。

cve - 2022 - 0235

媒介 7.46.3

不影响Artifactory,因为它只影响grpc-tools。

cve - 2020 - 7608


媒介 7.46.3

不影响Artifactory,因为它只影响yargsyargs-parser。

cve - 2022 - 22950

媒介 7.46.3

不影响Artifactory,因为它只影响org.springframework: spring-expression

cve - 2021 - 22096

cve - 2021 - 22060

媒介 7.46.3

不影响Artifactory,因为它只影响org。spring框架:spring核心。


cve - 2022 - 24823

媒介 7.46.3

不影响Artifactory,因为它只影响netty:netty-common。

cve - 2018 - 25031

cve - 2021 - 46708

媒介 7.46.3

不影响Artifactory,因为它只影响com.github.tomakehurst: wiremock-jre8。


cve - 2021 - 43797

媒介 7.46.3

不影响Artifactory,因为它只影响io.netty: netty-codec-http。

cve - 2022 - 1962

cve - 2022 - 28131

cve - 2022 - 30633

cve - 2022 - 30635

至关重要的

7.46.3



不影响Artifactory,因为它只影响github.com/golang/go


cve - 2022 - 22971

至关重要的 7.42.1 不影响Artifactory,因为它只影响spring核心。

cve - 2020 - 36518

7.42.1

不影响Artifactory,因为它只影响fasterxml.jackson.version。

cve - 2020 - 36518

7.41.4 不影响Artifactory,因为它只影响jackson-databind。
cve - 2022 - 24823 媒介 7.41.4

不影响Artifactory,因为它只影响netty-common。

cve - 2021 - 3859

7.41.4

不影响Artifactory,因为它只影响红色的帽子undertow-core。

cve - 2022 - 22963

至关重要的 7.41.4 不影响Artifactory,因为它只影响spring核心。

cve - 2021 - 22119

7.41.4

不影响Artifactory,因为它只影响spring-security-oauth2。

cve - 2022 - 23632

至关重要的 7.39.4

不影响Artifactory,因为它只影响Traefik。

cve - 2022 - 29153

7.39.4 不影响Artifactory,因为它只影响领事。

cve - 2022 - 24769

媒介 7.39.4 不影响Artifactory,因为它只影响containerd。
cve - 2022 - 27191 7.39.4 不影响Artifactory,因为它只影响golang.org/x/crypto/ssh

cve - 2022 - 23648

7.39.4 不影响Artifactory,因为它只影响containerd。

cve - 2022 - 0536

媒介 7.39.4 不影响Artifactory,因为它只影响nodejs客户的axios。

cve - 2021 - 43797

媒介 7.37.13

不影响Artifactory,因为它只影响网状的。

cve - 2021 - 3807

7.37.13

不影响Artifactory,因为它只影响ansi-regex。

cve - 2022 - 23806 至关重要的 7.37.13

不影响Artifactory,因为它只影响曲线。IsOnCurve in crypto/elliptic in Go。

cve - 2021 - 41090
媒介 7.35.1 不影响Artifactory,因为它只影响码头工人和image-spec。

cve - 2021 - 22060

媒介 7.34.4

不影响Artifactory,因为它只影响org.springframework:spring-core:5.3.12。

cve - 2021 - 42550

媒介 7.31.10

不影响Artifactory,因为它只影响logback.xml。

cve - 2017 - 9506 媒介 7.31.10 不影响Artifactory,因为它只影响atlassian OAuth插件的IconUriServlet。

cve - 2015 - 2575

媒介 7.31.10 不影响Artifactory,因为它只影响mysql:mysql-connector-java:8.0.20。
cve - 2021 - 42340

7.31.10 不影响Artifactory,因为它只影响Apache Tomcat版本:

9.0.48和8.5.73。

cve - 2020 - 13949 7.31.10 不影响Artifactory,因为它只影响jaegeR 1.6.0使用节俭0.14.1.

cve - 2021 - 35560
cve - 2021 - 35550
cve - 2021 - 35556
cve - 2021 - 35561
cve - 2021 - 35564
cve - 2021 - 35565
cve - 2021 - 35567
cve - 2021 - 35578
cve - 2021 - 35586
cve - 2021 - 35588
cve - 2021 - 35603

7.31.10

不影响Artifactory,因为它只影响Java。

cve - 2021 - 36374 媒介 7.31.10

不影响Artifactory,因为它只影响Apacheant-1.9.15。

cve - 2021 - 33037

媒介 7.27.3 不影响Artifactory,因为它只影响Apache Tomcat。

cve - 2021 - 22147

7.27.3 不影响Artifactory,因为它只影响org.elasticsearch: elasticsearch

cve - 2021 - 22148

7.27.3 不影响Artifactory,因为它只影响org.elasticsearch: elasticsearch

cve - 2021 - 22149

7.27.3 不影响Artifactory,因为它只影响org.elasticsearch: elasticsearch。

cve - 2021 - 30129

7.25.4 不影响Artifactory,因为它只影响org.apache.sshd: sshd-core: 2.6.0。
cve - 2017 - 18640 7.25.4 不影响Artifactory,因为它只影响1.23 XML实体扩展。

cve - 2021 - 27568

至关重要的 7.25.4 不影响Artifactory,因为它只影响json-smart-1.3.1。
cve - 2021 - 27568 至关重要的 7.25.4 不影响Artifactory,因为它只影响json-smart-1.3.1。

cve - 2021 - 26291

正常的 7.24.1

不影响Artifactory,因为它只影响Maven 3.8.1版本。

cve - 2021 - 13936

7.24.1

不影响Artifactory,因为它只影响Apache Velocity引擎。

cve - 2018 - 9116 至关重要的 7.23.3 不影响Artifactory,因为它只影响wiremock。
至关重要的 7.21.3

不影响Artifactory,因为它只影响XStream

cve - 2021 - 26291

7.21.3

不影响Artifactory,因为它只影响Apache Maven。

cve - 2021 - 21290

媒介 7.21.3 不影响Artifactory,因为它只影响netty-codec-http: 4.1.53.final。

cve - 2020 - 17521

媒介 7.21.3 不影响Artifactory,因为它只影响org.codehaus.groovy: groovy-all。
7.17.4 不影响Artifactory,因为它只影响Spring安全Web。
cve - 2019 - 17571
媒介 7.15.3 不影响Artifactory,因为它只影响log4j-to-slf4jlog4j api。
7.11.1

不影响Artifactory,因为它只影响hazelcast-3.6.1.jar

媒介 7.11.1

不影响Artifactory,因为它只影响sorg.eclipse.jetty: jetty-http

7.11.1

不影响Artifactory,因为它只影响Plexus-utils。

7.11.1

不影响Artifactory,因为它只影响fasterxml.jackson.version

7.10.5
不影响Artifactory,因为它只影响bcprov-jdk15。
7.10.5 不影响Artifactory,因为它只影响atcryptacular-1.1.1.jar。
cve - 2020 - 7692 至关重要的 7.10.2 不影响Artifactory,因为它只影响google-oauth-client图书馆。
媒介 7.10.1 不影响Artifactory,因为它只影响Commons-compress图书馆。
媒介 7.10.1 不影响Artifactory,因为它只影响Commons-compress图书馆。
7.10.1 不影响Artifactory,因为它只影响1.14.9.
7.10.1 不影响Artifactory,因为它只影响人群自由。
7.10.1

不影响Artifactory,因为它只影响XStream。

7.10.1

不影响Artifactory,因为它只影响XStream。

至关重要的 7.10.1

不影响Artifactory,因为它只影响XStream。

cve - 2020 - 8203

7.9.0 不影响人工,因为它只影响lodash。
cve - 2020 - 1745 至关重要的 7.9.0 不影响Artifactory,因为它只影响io。2.0.15.Final。
cve - 2017 - 15095 至关重要的 7.8.1 不影响Artifactory,因为它只影响fge: jackson-coreutils: jar
cve - 2017 - 17485 至关重要的 7.8.1 不影响Artifactory,因为它只影响fge: jackson-coreutils: jar
cve - 2017 - 7525 至关重要的 7.8.1 不影响Artifactory,因为它只影响fge: jackson-coreutils: jar
cve - 2020 - 13935 7.7.0 不影响Artifactory,因为它只影响Apache Tomcat

cve - 2020 - 13934

7.7.0 不影响Artifactory,因为它只影响Apache Tomcat
cve - 2020 - 11996 7.7.0 不影响Artifactory,因为它只影响Apache Tomcat

cve - 2020 - 28500

cve - 2020 - 8203

cve - 2021 - 23337

至关重要的 6.23.25 不影响Artifactory,因为它只影响npm lodash图书馆
cve - 2022 - 30591 N/A JFrog Artifactory不受影响,因为它不使用quic-go通过0.27.0。
cve - 2022 - 42889 至关重要的 N/A

JFrog平台不是受影响,因为它不使用受影响的包。

cve - 2016 - 1000027 至关重要的 N/A 不影响人工,自它不使用impactHttpInvokerServiceExporter提供远程访问的组件。
cve - 2022 - 34305 媒介 N/A 不影响Artifactory,因为它不使用Apache Tomcat版本中包含的受影响组件。
cve - 2022 - 29885 N/A 不影响Artifactory,因为它不使用Apache Tomcat版本中包含的受影响组件。
cve - 2018 - 10892 N/A 不影响工艺品,只自Traefik使用它,因此只有当Docker Provider被打开时才适用,而Artifactory中不是这样。
cve - 2020 - 0187 媒介 N/A 不影响Artifactory,因为它只影响Android平台。
cve - 2020 - 0187 媒介 N/A 不影响Artifactory,因为它只影响Android平台。
N/A 媒介 N/A 不影响Artifactory,因为它只在使用Apache Sling时适用,而在Artifactory中不是这样。
N/A 媒介 N/A 不影响Artifactory,因为它只影响SSLServerSocketAppender{{SSLSocketAppender}}
cve - 2017 - 7536 N/A 不影响Artifactory,因为Artifactory没有使用org.hibernate_hibernate-validator
cve - 2020 - 9484 N/A 不影响Artifactory,因为如果Tomcat配置了PersistenceManager,则可以利用该漏洞,而Artifactory不使用PersistenceManager。
cve - 2019 - 11888 N/A 这个CVE应该会影响六号人工制品。x版本。的golang /去库是元数据服务的一部分,在Artifactory 6中没有启用。x版本。
cve - 2019 - 14809 N/A 这个CVE应该会影响六号人工制品。x版本。的golang /去库是元数据服务的一部分,在Artifactory 6中没有启用。x版本。
cve - 2019 - 0232 N/A enableCmdLineArguments参数没有在与Artifactory绑定的Apache Tomcat中启用。
cve - 2018 - 8014 N/A JFrog Apache Tomcat的版本是8.5.32,它不是易受攻击的版本之一。
cve - 2018 - 1275 N/A 的JFrogSpring框架版本号为4.1.8,不支持该版本,容易受到CVE的攻击。但是,由于JFrog没有实现STOMP代理,因此我们不会暴露于此漏洞

cve - 2018 - 8589

媒介 N/A JFrog不对Windows操作系统中的漏洞负责。任何使用本地环境的人都应该使Windows操作系统保持最新状态。
cve - 2018 - 11776 N/A 不影响Artifactory,因为JFrog不使用Apache Struts。
cve - 2018 - 5925 N/A 不影响Artifactory,因为该问题与某些HP喷墨打印机有关,而与JFrog无关。
cve - 2018 - 5924 N/A 不影响Artifactory,因为该问题与某些HP喷墨打印机有关,而与JFrog无关。
cve - 2018 - 5382 N/A 不影响Artifactory,既然JFrog不使用BKS-V1密钥存储库
cve - 2018 - 1260 N/A 不影响Artifactory,既然JFrog不使用春季安全证书
cve - 2018 - 1259 N/A 不影响Artifactory,既然JFrog不使用Spring数据共享
cve - 2017 - 5664 N/A
不影响Artifactory,因为默认值为只读的DefaultServlet中的属性是“真正的“(readOnly = true)在我们的环境中。正如在CVE,你只有脆弱:“……如果DefaultServlet被配置为允许写……”
cve - 2017 - 5648 至关重要的 N/A
不影响人工,既然tomcat webapps /文件夹只包含捆绑的Tomcat发行版使用的Artifactory WAR和Access WAR文件。
cve - 2017 - 5647 N/A 不影响Artifactory,因为这个问题只涉及到Artifactory没有使用的“发送文件”服务。
cve - 2017 - 5638 至关重要的 N/A Artifactory是受Apache Struts 2漏洞影响。
CVE-2014-0097年 N/A 对于LDAP认证,Artifactory严格使用ArtifactoryLdapAuthenticationProvider类,该类使用ArtifactoryLdapAuthenticator,包装ArtifactoryBindAuthenticator。后一个类用于执行实际的身份验证并检查对于空密码。

Artifactory不使用任何其他LDAP提供程序,例如ActiveDirectoryLdapAuthenticationProvider。这JIRA问题指旧的类名,ActiveDirectoryLdapAuthenticator,这不是Spring Security和Artifactory的一部分。
cve - 2008 - 4108 N/A 不影响Artifactory,既然ArtifactoryJfrog不需要安装Python;CVE与Jfrog无关。
cve - 2005 - 2541 N/A 不影响Artifactory,既然Artifactory使用焦油1.30.1.

洞察力

CVEs影响洞察

以下是发现的影响Insight并已修复的cve列表。

CVE 严重程度

Insight Fix版本

修复描述
cve - 2022 - 45143 1.13.3 tomcat-embed-core,已升级到9.0.69版本。
cve - 2022 - 31692 至关重要的 1.13.0

升级spring-security-web版本5.7.5。

升级spring-bootcore版本2.7.5。

cve - 2022 - 23181 1.7.0 tomcat-embed-core,已升级到9.0.58版本。
cve - 2021 - 22060 媒介 1.6.0 升级spring web版本5.3.14。
cve - 2021 - 42550 媒介 1.5.0 升级logback版本1.2.9
cve - 2021 - 22096 媒介 1.4.0 升级spring web版本5.3.12。

cve不会影响洞察力

CVE 严重程度 Insight Fix版本 原因
cve - 2022 - 41915 媒介 1.13.3 升级netty-codec-http: 4.1.68.Final> 4.1.86.Final
cve - 2022 - 42003 N/A

升级jackson-databind版本2.13.4.1。

cve - 2022 - 3171 N/A

不影响Insight,因为它只影响protobuf-java。

cve - 2022 - 42252 N/A 升级Tomcat到9.0.69版本。
cve - 2019 - 13990 N/A 升级quartz-scheduler到2.3.2版本。
cve - 2022 - 25857 1.12.1 SnakeYAML已从1.30版本升级到1.31版本。
cve - 2022 - 31197 1.12.0 PostgreSQL JDBC驱动(pgjdbc)已从42.3.3版本升级到42.4.1版本
cve - 2022 - 23708 媒介 1.11.3 Elasticsearch已从版本7.16.3升级到版本7.17.1。
cve - 2021 - 31684 1.5.0 升级json-smart到1.3.3版本。
cve - 2021 - 21290 媒介 1.4.0 升级netty-codec-http: 4.1.53.final4.1.59.Final
cve - 2022 - 22970 媒介 1.11.3 spring-bootcore,已从2.6.7版本升级到2.7.0版本。
cve - 2022 - 22968 1.10.2 spring-bootcore,已从2.6.6版本升级到2.6.7版本。
cve - 2020 - 36518 1.10.1 jackson-databind,已升级到2.13.2.1版本。
cve - 2022 - 22965 至关重要的 1.8.1 sprint-bootcore,已从2.6.2版本升级到2.6.6版本。
cve - 2022 - 21724 至关重要的 1.6.2 pgjdbcPostgreSQL官方JDBC驱动升级到42.2.25版本。
cve - 2021 - 22569 1.6.2 protobuf-java组件已升级到3.19.2版本。
cve - 2020 - 25649 N/A 使用库的Searchguard TLS工具仅供系统管理员在本地使用,用于在安装期间生成TLS证书。因此,它只运行在可信数据上,因此不会受到此漏洞的影响。

分布

cve不会影响发行

以下是cve的列表分布的影响。

CVE 严重程度 发布修复版本 原因
cve - 2022 - 21222 N/A

此依赖项仅在开发过程中使用,而不包括在最终产品部署中。

cve - 2022 - 45143 N/A

分发版不使用易受攻击的API。

cve - 2022 - 41946

媒介 N/A 将驱动程序更新到42.5.1修复了此漏洞。
cve - 2022 - 42889 至关重要的 N/A

升级到固定版本,尽管Distribution不使用易受攻击的API。

cve - 2022 - 31692 至关重要的 N/A

升级到固定版本。

cve - 2022 - 3171 N/A

升级到固定版本。

cve - 2022 - 42004 N/A

升级到固定版本。

cve - 2022 - 38750 媒介 N/A

升级到固定版本。

cve - 2022 - 38749 媒介 N/A

升级到固定版本。

cve - 2022 - 1471 至关重要的 N/A

不影响分布,因为分布不使用可能有害的构造函数。

cve - 2022 - 42252 N/A 不影响发行版,因为产品使用Tomcat版本9.0.58,没有重新定义rejectIllegalHeader,因此其有效值为“true”(默认值)。
cve - 2016 - 1000027 至关重要的 N/A D不影响分配因为Distribution没有使用易受攻击的API。
cve - 2022 - 22978 N/A 升级spring-security-web到5.7.0版本。
cve - 2022 - 22968 媒介 N/A 升级spring上下文版本5.3.21。
cve - 2022 - 22970 媒介 N/A 升级spring bean版本5.3.21。
cve - 2021 - 21309 至关重要的 N/A

不影响分发版,因为分发版使用64位Redis,这个问题只影响32位系统或运行在64位系统上的32位Redis可执行文件。

cve - 2022 - 24785 2.12.3 Moment.js是一个JavaScript日期库,用于解析、验证、操作和格式化日期。路径遍历漏洞影响npm(服务器)用户Moment.js在1.0.1和2.29.1版本之间,特别是如果用户提供的区域设置字符串直接用于切换时刻区域设置。此问题已在2.29.2中修复,该补丁可应用于所有受影响的版本。作为一种解决方法,在将用户提供的区域设置名称传递给Moment.js
cve - 2022 - 21724 媒介 2.12.0 pgjdbc,官员PostgreSQL JDBC驱动程序,已升级到42.2.25版本。
cve - 2021 - 42550 媒介 2.11.0 升级了logback.xml到1.2.9版本。
cve - 2022 - 24823 媒介 N/A 不影响发行版,因为该漏洞只影响在Java版本6及更低版本上运行的应用程序。

任务控制

cve不会影响任务控制

CVE 严重程度 任务控制修复版本 原因
cve - 2021 - 37136 4.7.15 升级netty-codec4.1.68.Final。
cve - 2021 - 22149 4.7.14 升级Elasticsearch7.14.0。
cve - 2021 - 22148 4.7.14 升级Elasticsearch7.14.0。
cve - 2021 - 22147 媒介 4.7.14 升级Elasticsearch7.14.0。
cve - 2021 - 31684 4.7.13 升级Apache HttpClient到4.5.13版本。
cve - 2021 - 22112 4.7.13 升级spring-security-web版本5.4.4。
cve - 2020 - 13956 媒介 4.7.13 升级json-smart版本2.4.7。
cve - 2021 - 35517 4.7.11 升级common-compress到1.2.1版本。
cve - 2021 - 27568 至关重要的 4.7.11 升级json-smart版本2.4.7。
cve - 2020 - 28052 4.7.11 升级bc-java版本1.6.7。
cve - 2020 - 8908 N/A 不影响任务控制,因为JFrog不使用com.google.common.io.Files.createTempDir ()函数。

没有CVE影响任务控制的漏洞

以下是没有影响任务控制的CVE且已修复的漏洞列表。

修复描述 严重程度 任务控制修复版本
更新netty-codec到版本4.1.66.Final。 至关重要的 4.7.11

没有CVE的漏洞不会影响任务控制

以下是没有CVE且不影响任务控制的漏洞列表。

修复描述 严重程度 任务控制修复版本

Flyway不安全日志本地密码泄露(org。Flywaydb:flyway-core / 4.2.0

“不受影响”第三方包:默认日志级别为“WARN”。

管道

cve对管道的影响

CVE 严重程度 管道修复版本 原因
cve - 2022 - 24921 1.27.0 用户可以在一个步骤中使用jfrog cli导致堆栈耗尽,但这只会导致一个步骤失败。
cve - 2022 - 30634 1.27.0 Jfrog cli防止用户传递最大缓冲区。
cve - 2022 - 0235 媒介 1.24.0 删除了节点获取依赖。

cve不影响管道

以下是cve的列表影响管道。

CVE 严重程度 管道修复版本 原因
cve - 2021 - 43138 N/A 不影响管道。从管道构建代理中删除了不必要的依赖项。
cve - 2021 - 41248 N/A 不影响管道。从管道构建代理中删除了不必要的依赖项。

cve - 2022 - 32212

1.25.1 升级node . js到16.16.0版本。
cve - 2022 - 32213 至关重要的 1.25.1 升级node . js到16.16.0版本。
cve - 2022 - 32214 至关重要的 1.25.1 升级node . js到16.16.0版本。
cve - 2022 - 32215 至关重要的 1.25.1 升级node . js到16.16.0版本。
cve - 2022 - 32223 1.25.1 升级node . js到16.16.0版本。
cve - 2021 - 23343 1.20.2

不影响管道,因为path-parse不被管线使用。

cve - 2021 - 3918 至关重要的 1.20.2

不影响管道。虽然脆弱的图书馆json-schema子依赖是request@ 2.88.2,脆弱函数验证没有从请求

cve - 2021 - 23358 1.20.2

不影响管道,因为underscore@1.4.4的子模块是ssh - keygen管线没有调用易受攻击的模板函数

cve - 2022 - 25648 N/A 不影响管道作为核心服务控制什么命令被传递到git命令。

没有CVE的漏洞不会影响管道

以下是没有CVE且不影响pipeline的漏洞列表

描述 严重程度 管道修复版本 原因

防止remove-markdown RedDos

媒介 1.23.2

RedDos易受攻击的代码将超时运行。

原型污染缺陷css 4.2.4

1.20.2

不影响管道,因为clean-css@4.2.4的子模块mjml管线没有调用易受攻击的模板函数。

原型污染缺陷node-forge 0.10.0 至关重要的 N/A 不影响管道,因为管道和win-ca不调用易受攻击的调试函数。


前端

没有CVE的漏洞不会影响前端

以下是没有CVE且不影响Frontend的漏洞列表

描述 严重程度 原因
原型污染缺陷node-forge 0.10.0 至关重要的 不影响前端,因为前端和selfsigned不调用易受攻击的调试函数。

x光

cve影响x射线

以下是发现影响Xray并已修复的cve列表。

CVE 严重程度

x射线修复版本

修复描述
cve - 2022 - 31030 媒介 3.60.2 升级github.com/containerd/containerd版本1.5.13.
cve - 2022 - 28948 3.60.2 升级gopkg.in / yaml.v3:3.0.0 - 20200313102051版本为gopkg.in/yaml.v3:3.0.1。
cve - 2022 - 27664

3.60.2

3.61.5

升级golang.org/x/net v0.0.0 - 20220722155237到golang.org/x/net 0.1.0版本
升级golang.org/x/sys v0.0.0 - 20220722155237到golang.org/x/sys v0.1.0
升级golang.org/x/net v0.3.7到golang.org/x/text v0.4.0。
cve - 2022 - 32149 3.60.2 升级从0.3.7到0.3.8。
cve - 2022 - 32189 3.59.4 升级Golang版本到1.18.5。
cve - 2021 - 38197 至关重要的 3.57.6 升级go-unarr库到v0.1.4版本。
cve - 2022 - 29526 媒介 3.55.2 升级Golang版本1.18.4.
cve - 2022 - 30634 3.55.2 升级Golang版本1.18.4.
cve - 2022 - 30632 3.55.2 升级Golang版本1.18.4.
cve - 2022 - 30630 3.55.2 升级Golang版本1.18.4.
cve - 2022 - 30631 3.55.2 升级Golang版本1.18.4.
cve - 2022 - 24769 媒介 3.54.5 升级Containerd版本1.5.11.
cve - 2022 - 29526 媒介 3.54.5 升级到Golang版本号为1.17.11。
cve - 2022 - 23806 至关重要的 3.50.3 升级JFrog路由器版本到7.39.0。
cve - 2022 - 27191 3.49.0 升级golang.org/x/cryptov0.0.0 - 20220314234659 - 1 - baeb1ce4c0。

cve - 2022 - 24675

3.48.2 升级Golang版本为1.17.9。
cve - 2022 - 24921 3.48.2 升级Golang版本为1.17.9。

cve - 2021 - 43816

至关重要的 3.42.3 升级Containerd版本到1.5.9。
cve - 2021 - 44717 媒介 3.41.4 升级Golang版本到1.17.5。
cve - 2021 - 44716 3.41.4 升级Golang版本到1.17.5。
cve - 2021 - 41771 3.38.1 升级Golang版本为1.17.3。
cve - 2021 - 33196 3.34.1 升级Golang版本到1.15.13,1.16.5。

x光

cve不影响x射线

以下是cve的列表影响x光。

CVE 严重程度

x射线修复版本

修复描述
cve - 2021 - 38197 至关重要的 3.57.6 升级go-unarr库到v0.1.4版本。
  • 没有标签
版权所有©2023 JFrog Ltd.