使用最新版本?
JFrog平台用户指南
JFrog Artifactory 6。x文档
要获取最新版本,请访问JFrog统一平台
跳到元数据的末尾
转到元数据开始
没有CVE影响Artifactory的漏洞
以下是一个没有影响Artifactory的CVE且已修复的漏洞列表。
描述 | 严重程度 | Artifactory修正版本 |
---|---|---|
在某些情况下,经过身份验证的用户能够:
|
至关重要的 | |
在某些情况下,用户可以访问本应只向管理员公开的应用程序数据。 | 至关重要的 | 6.9.3 6.8.14, 6.10.4 |
在某些情况下,未经授权的用户可能会向Artifactory发送格式不正确的REST API调用,这些调用以另一个用户的身份执行。 | 至关重要的 |
|
一个与SAML相关的身份验证漏洞可能使Artifactory暴露于XSW攻击,这种攻击可能嗅探和操纵SAML通信,导致SAML登录响应的验证不正确。这可能允许攻击者访问Artifactory中的任何用户。 | 高 | 6.5.13 |
CVEs不影响Artifactory
以下是cve的列表不影响Artifactory。
CVE | 严重程度 | 原因 |
---|---|---|
cve - 2019 - 0232 | 高 | 的enableCmdLineArguments参数在与Artifactory绑定的Apache Tomcat中没有启用。 |
cve - 2018 - 8014 | 高 | JFrog Apache Tomcat版本为8.5.32,不属于漏洞版本。 |
cve - 2018 - 1275 | 高 | JFrog Spring Framework版本为4.1.8,不支持该版本,容易受到CVE的攻击。但是,因为JFrog没有实现STOMP代理,所以我们不会暴露在这个漏洞中 |
媒介 | JFrog不对Windows操作系统中的漏洞负责。任何使用本地环境的人都应该保持Windows操作系统的最新状态。 | |
cve - 2018 - 11776 | 高 | 不会影响Artifactory,因为JFrog不使用Apache Struts。 |
cve - 2018 - 5925 | 高 | 不影响Artifactory,因为该问题涉及某些HP喷墨打印机,而与JFrog无关。 |
cve - 2018 - 5924 | 高 | 不影响Artifactory,因为该问题涉及某些HP喷墨打印机,而与JFrog无关。 |
cve - 2018 - 1260 | 高 | 不会影响Artifactory,因为JFrog不使用Spring Security Oauth。 |
cve - 2018 - 1259 | 高 | 不会影响Artifactory,因为JFrog不使用Spring Data Commons。 |
cve - 2017 - 5664 | 高 |
不会影响Artifactory,因为 只读的 DefaultServlet中的属性是“真正的“(readOnly = true) 在我们的环境中。正如在CVE,你只是脆弱:“……如果DefaultServlet被配置为允许写…" |
cve - 2017 - 5648 | 至关重要的 |
不影响Artifactory,既然 tomcat webapps / 文件夹只包含打包的Tomcat发行版使用的Artifactory WAR和Access WAR文件。 |
cve - 2017 - 5647 | 高 | 不影响Artifactory,因为该问题只涉及Artifactory不使用的“发送文件”服务。 |
cve - 2017 - 5638 | 至关重要的 | Artifactory是不受Apache Struts 2漏洞影响。 |
CVE-2014-0097年 | 高 | 对于LDAP身份验证,Artifactory严格使用使用ArtifactoryLdapAuthenticationProvider类,该类使用ArtifactoryLdapAuthenticator,包装ArtifactoryBindAuthenticator。后一个类是用来执行实际身份验证的类并检查为空密码。
Artifactory在LDAP中不使用任何其他提供程序,例如ActiveDirectoryLdapAuthenticationProvider。这JIRA问题指的是一个较老的类名,ActiveDirectoryLdapAuthenticator,它不是Spring Security和Artifactory的一部分。
|
cve - 2008 - 4108 | 高 | 不影响Artifactory,因为ArtifactoryJfrog不需要安装Python;CVE与Jfrog无关。 |
cve - 2005 - 2541 | 高 | 不影响Artifactory,因为Artifactory使用Tar 1.30.1。 |
概述
内容的工具