发行注记

MTR 1.2.0 失败，并显示 Exception java.lang.ClassNotFoundException:org.eclipse.text.edits.MalformedTreeException

在早期版本的 MTR 1.2.z 中，当将应用程序从 JBoss Enterprise Application Platform (EAP) 7 迁移到 EAP 8 时，以下 java.lang.ClassNotFoundException 可能会出现故障：

CVE-2022-36033: org.jsoup/jsoup ：如果启用了 SafeList.preserveRelativeLinks，jsoup cleaner 可能会错误地清理 crafted XSS

在 jsoup 中发现了一个安全漏洞，它是 Java HTML 解析器，专为 HTML 编辑、清理、提取和跨站点脚本(XSS)安全而构建。

由于 SEVERE [org.jboss.windup.web.services.messaging.PackageDiscoveryMDB] 错误，无法将应用程序迁移到 MTR

在上传文件进行分析时，服务器日志会返回 SEVERE [org.jboss.windup.web.services.messaging.PackageDiscoveryMDB] 错误。此错误是由 null: java.lang.NullPointerException 导致的。(WINDUP-4189)

CVE-2024-1132: org.keycloak-keycloak-parent: keycloak 路径转换（在重定向验证中）

Keycloak 中发现了一个安全漏洞，它没有正确验证重定向中包含的 URL。此漏洞允许攻击者构建恶意请求，以绕过验证、访问域中的其他 URL 和敏感信息，或者进行进一步攻击。建议用户升级到 MTR 1.2.6，从而解决了这个问题。

CVE-2023-45857: Axios 1.5 会公开存储在 Cookie 中的机密数据

在 Axios 1.5.1 中发现了一个安全漏洞，它意外发现了存储在 Cookie 中的机密 XSRF-TOKEN，方法是包括每个对任何主机发出的 HTTP 标头 X-XSRF-TOKEN，从而允许攻击者查看敏感信息。建议用户升级到 MTR 1.2.6，从而解决了这个问题。

CVE-2024-28849: follow-redirects 软件包清除授权标头

在 follow-redirects 软件包中发现了一个安全漏洞，它清除授权标头，但它无法清除 proxy-authentication 标头。此漏洞可能会导致凭证泄漏，这可能会对数据保密性产生重大影响。建议用户升级到 MTR 1.2.6，从而解决了这个问题。

CVE-2024-29131: Apache Commons Configuration 中的超出边界写漏洞

在 Apache Commons-Configuration2 中发现了一个漏洞，在 AbstractListDelimiterHandler.flattenIterator （） 方法中添加属性时可能会出现 Stack Overflow Error。此问题可能会使攻击者破坏内存或执行拒绝服务(DoS)攻击，它通过设计一个恶意属性，在通过易受攻击的方法处理时触发越界写入问题。建议用户升级到 MTR 1.2.6，从而解决了这个问题。

CVE-2024-29133: Apache Commons Configuration 中的超出边界写漏洞

在 Apache Commons-Configuration2 中发现了一个漏洞，其中 Stack Overflow Error 在调用带有 cyclical 对象树的 ListDelimiterHandler.flatten (Object, int) 方法时发生。此问题可能会允许攻击者触发越界写入，这可能会导致内存损坏或导致拒绝服务(DoS)附加。建议用户升级到 MTR 1.2.6，从而解决了这个问题。

CVE-2024-29180: webpack-dev-middleware 缺少 URL 验证可能会导致文件泄漏

webpack-dev-middleware 软件包中发现了一个安全漏洞，在返回本地文件前无法验证提供的 URL 地址。此漏洞允许攻击者制作 URL 来从开发人员的计算机返回任意本地文件。在调用中间件前缺少规范化还允许攻击者对目标环境执行路径遍历攻击。建议用户升级到 MTR 1.2.6，从而解决了这个问题。

CVE-2023-4639: org.keycloak-keycloak-parent undertow Cookie Smuggling 和 Spoofing

Undertow 中发现了一个安全漏洞，它错误地解析带有传入请求中的特定值限制字符的 Cookie。此漏洞可以让攻击者构建 Cookie 值，以截获 HttpOnly cookie 值或欺骗任意 Cookie 值，从而导致未经授权的数据访问或修改。建议用户升级到 MTR 1.2.6，从而解决了这个问题。

CVE-2023-36479: com.google.guava-guava-parent addition of quotation marks to user input in Jetty CGI Servlet

Jetty 的 org.eclipse.jetty.servlets.CGI Servlet 中发现了一个安全漏洞，它允许在特定情况下执行不正确的命令，如在请求的文件名中带有某些字符的请求。此问题可能会允许攻击者在请求的命令之外运行允许的命令。建议用户升级到 MTR 1.2.6，从而解决了这个问题。

CVE-2023-26364: css-tools 不正确的输入验证会导致拒绝服务

在 @adobe/css-tools 中发现了一个安全漏洞，这可能会在解析 CSS 时导致拒绝服务(DoS)。强制环境不需要用户交互和特权。建议用户升级到 MTR 1.2.6，从而解决了这个问题。

CVE-2023-48631: css-tools: 正则表达式拒绝服务

在 @adobe/css-tools 中发现了一个安全漏洞，在尝试解析 CSS 时可能会导致正则表达式拒绝服务(ReDoS)。建议用户升级到 MTR 1.2.6，从而解决了这个问题。

MicroProfile 指标的新规则集取代了旧的规则集

MicroProfile (MP)指标的新规则集取代了旧的规则集。(WINDUPRULE-1043)

MicroProfile OpenTracing 的新规则集取代了旧的规则集

MicroProfile (MP) OpenTracing 的新规则集取代了旧的规则集。(WINDUPRULE-1044)

CVE-2024-25710 commons-compress：由无限循环导致的服务拒绝

在 Apache Common Compress 中发现了一个带有无法访问的退出条件的循环，即 Infinite Loop (Loop)漏洞。此问题可能会导致拒绝服务。此问题会影响 Apache Commons Compress: from 1.3 到 1.25.0。建议用户升级到 MTR 1.2.5，这可以解决这个问题。

CVE-2024-26308 commons-compress: OutOfMemoryError

在 Apache Commons Compress 中发现没有限制或节流的漏洞的资源分配。此问题可能会导致内存不足错误(OOM)。此问题会影响 Apache Commons Compress, from 1.21 到 1.26。建议用户升级到 MTR 1.2.5，这可以解决这个问题。

Eclipse Vert.x 工具包中的 CVE-2024-1300: A 漏洞会导致使用 TLS 和 SNI 配置的 TCP 服务器中的内存泄漏

Eclipse Vert.x 工具包中的漏洞会导致使用 TLS 和 SNI 支持的传输控制协议(TCP)服务器出现内存泄漏。当处理一个未知的 Server Name Indication (SNI)服务器名称而不是映射的证书时，安全套接字层(SSL)上下文会错误地缓存在服务器名称映射中，从而导致内存耗尽。这只会影响启用了 SNI 的 TLS 服务器。建议用户升级到 MTR 1.2.5，这可以解决这个问题。

CVE-2023-26159: 在 1.15.4 之前 的后续重定向 软件包会受到 Improper Input Validation 的影响

1.15.4 之前 的后续重定向 软件包版本容易受到 Improper 输入验证的影响。此漏洞是由于 url.parse （） 函数处理 URL 不正确。当新 URL 返回错误时，可以对其进行操作来误解主机名。攻击者可能会利用这种弱点来将流量重定向到恶意网站，从而可能导致信息泄露、辨别攻击或其他安全漏洞。

CVE-2022-25883: 在 node-semver 软件包中发现了正则表达式服务(ReDoS)漏洞

7.5.2 之前的 semver npm 软件包的版本容易受到 Regular Expression Denial Service (ReDoS)的影响。当不受信任的用户数据作为范围提供时，这个 ReDoS 漏洞来自 新的 Range 功能。

CVE-2023-26136: 在 4.1.3 之前使用 tough-cookie 软件包会受到 Prototype Pollution 的攻击

4.1.3 之前的 tough-cookie 软件包的版本容易受到 Prototype Pollution 的攻击。此漏洞是在 rejectPublicSuffixes=false 模式下使用 CookieJar 时不正确的处理 Cookie。此问题源自初始化对象的方式。

CVE-2023-35116: jackson-databind before 2.15.2 会受到 Denial Service 或其他未指定影响的影响

2.15.2 之前 Jackson-databind 库版本会受到 Denial Service (DoS)攻击，或使用 cyclic 依赖项的精心设计的对象或其他未指定影响。

CVE-2023-1436 org.keycloak-keycloak-parent: Jettison: Un controlled Recursion in JSONArray

MTR 使用的 Jettison 中的一个缺陷，会在构建自引用 项 之一的集合时触发无限递归。此漏洞会抛出一个 StackOverflowError 异常。(WINDUP-3772)

CVE-2023-44487 netty-codec-http2: HTTP/2: 多 HTTP/2 启用的 Web 服务器容易受到 DDoS 攻击(Rapid Reset Attack)的影响

在处理 HTTP/2 协议中的多路流中发现了一个安全漏洞，它被 Migration Toolkit for Runtimes (MTR)使用。客户端可以重复请求新的多路流，并立即发送 RST_STREAM 帧来取消它。这在设置和分离流方面为服务器创建额外的工作负载，同时避免每个连接的最大活跃流数量的服务器端限制，从而导致因为服务器资源消耗而拒绝服务。(WINDUP-4072)

CVE-2023-37460 plexus-archiver: Arbitrary File Creation in AbstractUnArchiver

在 Plexus Archiver 中发现了一个安全漏洞，MTR 会使用该归档器。 在使用 AbstractUnArchiver 进行提取时，存档可能会导致任意文件创建和可能执行远程代码(RCE)。如果目标目录中带有条目作为目标不存在的符号链接，则此缺陷将绕过目录目的地验证。plexus-archiver 是一个测试范围工件，因此不会包含在任何 MTR 发行版中。(WINDUP-4053)

EAP 7.3 和 EAP 7.4 规则带有目标 EAP 7.0 及更高版本

此 MTR 发行版本对一些支持迁移到 EAP 7.3 及更高版本的规则进行修正，以确保如果目标是 EAP 7.2 或更高版本，则忽略规则。(WINDUPRULE-1038)

CVE-2023-44487 netty-codec-http2: HTTP/2

启用的多个 HTTP/2 的 Web 服务器容易受到 DDoS 攻击(Rapid Reset Attack)的影响。HTTP/2 协议允许拒绝服务（服务器资源消耗），因为请求可以快速重置许多流。(WINDUP-4056)