1.7. Apicurio Registry が解決した CVE

IPT-789

CVE-2022-25858 terser: 安全でない正規表現を使用すると ReDoS が発生する。

IPT-788

CVE-2022-37734 graphql-java: 悪意のあるクエリーが原因で DoS が発生する。

IPT-787

CVE-2022-25857 snakeyaml: コレクションのネストされた深さ制限の欠如による DoS。

IPT-764、IPT-763

CVE-2022-31129 moment: 非効率的な解析アルゴリズムにより DoS が発生する。

IPT-760

CVE-2022-25647 com.google.code.gson-gson: 信頼されていないデータが逆シリアル化される。

IPT-739

CVE-2022-24773 node-forge: DigestInfo 構造のチェックにおける署名検証が厳密ではない。

IPT-738

CVE-2022-24772 node-forge: 署名の検証が末尾のガベージバイトのチェックに失敗すると、署名の偽造につながる可能性がある。

IPT-737

CVE-2022-24771 node-forge: digestAlgorithm 構造のチェックにおける署名検証が厳密でないことが原因で署名偽造につながる可能性がある。

IPT-734

CVE-2022-26520 jdbc-postgresql: 任意のファイル書き込みの脆弱性。

IPT-733

CVE-2022-0536 follow-redirects: Authorization Header のリークによる機密情報の公開。

IPT-732

CVE-2022-0235 node-fetch: 権限のないアクターへの機密情報が公開される。

IPT-731

CVE-2022-23647 Prismjs: 不適切にエスケープされた出力により、XSS の脆弱性が発生する可能性がある。

IPT-728

CVE-2022-0981 quarkus: Quarkus の RestEasy Reactive スコープリークによる権限昇格の脆弱性がある。

IPT-723

CVE-2022-21724 quarkus-jdbc-postgresql-deployment: プラグインクラスを指定するときにクラスのインスタンス化がチェックされない。

IPT-705

CVE-2021-22569 protobuf-java: バイナリーデータの解析手順で DoS が発生する可能性がある。

IPT-652

CVE-2021-41269 cron-utils: 認証されていないリモートコード実行の脆弱性につながるテンプレートインジェクション。

IPT-566

CVE-2021-37136 netty-codec: Bzip2Decoder が圧縮したデータのサイズ制限を設定できない

IPT-564

CVE-2021-37137 netty-codec: SnappyFrameDecoder がチャンクの長さを制限せず、スキップ可能なチャンクを不要な方法でバッファーリングする可能性があります