Исправление уязвимостей безопасности

Версия 2.14

Обновленные библиотеки

  1. Название уязвимости: CWE-770: Allocation of Resources Without Limits or Throttling.

  • Идентификатор CVE: CVE-2025-55163.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Версия обновлена до 4.1.125.Final.

  1. Название уязвимости: CWE-409: Improper Handling of Highly Compressed Data (Data Amplification).

  • Идентификатор CVE: CVE-2025-58057.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлен vertx-grpc до 4.5.21, который содержит исправленный netty-codec-http2 версии 4.1.125.Final.

  1. Название уязвимости: CWE-444: Inconsistent Interpretation of HTTP Requests ("HTTP Request/Response Smuggling").

  • Идентификатор CVE: CVE-2025-58056.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлен vertx-grpc до 4.5.21, который содержит исправленный netty-codec-http2 версии 4.1.125.Final.

  1. Название уязвимости: Connect2id Nimbus JOSE + JWT before 10.0.2 allows a remote attacker to cause a denial of service via a deeply nested JSON object supplied in a JWT claim set, because of uncontrolled recursion.

  • Идентификатор CVE: CVE-2025-53864.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена версия до 2.12.1.

  1. Название уязвимости: Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.132.Final and 4.2.10.Final, Netty incorrectly parses quoted strings in HTTP/1.1 chunked transfer encoding extension values, enabling request smuggling attacks.

  • Идентификатор CVE: CVE-2026-33870.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена версия до 4.1.132.Final.

  1. Название уязвимости: Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.132.Final and 4.2.10.Final, a remote user can trigger a Denial of Service (DoS) against a Netty HTTP/2 server by sending a flood of CONTINUATION frames. The server's lack of a limit on the number of CONTINUATION frames, combined with a bypass of existing size-based mitigations using zero-byte frames, allows an user to cause excessive CPU consumption with minimal bandwidth, rendering the server unresponsive.

  • Идентификатор CVE: CVE-2026-33871.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена версия до 4.2.11.Final.

  1. Название уязвимости: The Vert.x Web static handler component cache can be manipulated to deny the access to static files served by the handler using specifically crafted request URI. The issue comes from an improper implementation of the C. rule of section 5.2.4 of RFC3986 and is fixed in Vert.x Core component (used by Vert.x Web).

  • Идентификатор CVE: CVE-2026-1002.

  • Уровень серьезности: Medium.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека io.vertx:vertx-core до версии 4.5.21.

  1. Название уязвимости: The non-blocking (async) JSON parser in jackson-core bypasses the maxNumberLength constraint (default: 1000 characters) defined in StreamReadConstraints. This allows an attacker to send JSON with arbitrarily long numbers through the async parser API, leading to excessive memory allocation and potential CPU exhaustion, resulting in a Denial of Service (DoS).

  • Идентификатор CVE: GHSA-72hv-8253-57qq.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека com.fasterxml.jackson.core:jackson-core до версии 2.17.0.

  1. Название уязвимости: The usage of String.toLowerCase() and String.toUpperCase() has some Locale dependent exceptions that could potentially result in authorization rules not working properly.

  • Идентификатор CVE: CVE-2024-38827.

  • Уровень серьезности: Unknown.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека org.springframework.security:spring-security-core до версии 5.8.12.

  1. Название уязвимости: ACE vulnerability in JaninoEventEvaluator by QOS.CH logback-core upto including version 0.1 to 1.3.14 and 1.4.0 to 1.5.12 in Java applications allows attacker to execute arbitrary code by compromising an existing logback configuration file or by injecting an environment variable before program execution. Malicious logback configuration files can allow the attacker to execute arbitrary code using the JaninoEventEvaluator extension. A successful attack requires the user to have write access to a configuration file. Alternatively, the attacker could inject a malicious environment variable pointing to a malicious configuration file. In both cases, the attack requires existing privilege.

  • Идентификатор CVE: CVE-2024-12798.

  • Уровень серьезности: Medium.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека ch.qos.logback:logback-core до версии 1.5.13.

  1. Название уязвимости: Lz4FrameDecoder allocates a ByteBuf of size decompressedLength (up to 32 MB per block) before LZ4 runs. A peer only needs a 21-byte header plus compressedLength payload bytes - 22 bytes if compressedLength == 1 - to force that allocation.

  • Идентификатор CVE: CVE-2026-42583.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека до версии 4.1.133.Final.

  1. Название уязвимости: CVE-2026-42579 is DNS Codec Input Validation Bypass vulnerability affecting Netty, a widely used asynchronous event-driven network application framework. It involves a flaw in how Netty handles DNS encoder/decoder operations, allowing for potential input validation bypass.

  • Идентификатор CVE: CVE-2026-42579.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека до версии 4.1.133.Final.

  1. Название уязвимости: CVE-2026-42584 is a low-severity vulnerability in the netty-codec-http library (Maven), where a flaw in HttpClientCodec allows response desynchronization. By using pipelined HTTP HEAD requests alongside 1xx server replies, an attacker can cause queue misalignment, leading to incorrect parsing and potential integrity issues with HTTP responses.

  • Идентификатор CVE: CVE-2026-42584.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека до версии 4.1.133.Final.

  1. Название уязвимости: CVE-2026-42587 is a low severity vulnerability with a CVSS score of 0.0. No known exploits currently, and patches are available. 1Low severity (CVSS 0.0/10) 2No known public exploits. 3Vendor patches are available.

  • Идентификатор CVE: CVE-2026-42587.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека до версии 4.1.133.Final.

  1. Название уязвимости: CVE-2026-42198 is a security vulnerability in the PostgreSQL JDBC Driver (pgjdbc) (versions 42.2.0 to 42.7.10) that causes a client-side Denial of Service (DoS). A malicious PostgreSQL server can force the client to perform excessive PBKDF2 iterations during SCRAM-SHA-256 authentication, crashing the CPU and jamming connection pools.

  • Идентификатор CVE: CVE-2026-42198.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека до версии 42.7.11.

  1. Название уязвимости: CVE-2026-3505 is a security vulnerability in the Legion of the Bouncy Castle Inc. BC-JAVA bcpg library (before version 1.84) where an unbounded PGP AEAD chunk size allows an unauthenticated attacker to cause memory exhaustion in a JVM, leading to a denial of service. The vulnerability stems from resource allocation without limits.

  • Идентификатор CVE: CVE-2026-3505.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека до версии 1.84.

Исправление кода или неприменимость

  1. Название уязвимости: CWE-639: Authorization Bypass Through User-Controlled Key.

  • Идентификатор CVE: CVE-2025-41249.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. В продукте используется только security-аннотация @PreAuthorize для проверки прав в классах REST-сервисов, которые не являются generic-классами или generic-интерфейсами.

  1. Название уязвимости: Spring Framework MVC applications can be vulnerable to a “Path Traversal Vulnerability” when deployed on a non-compliant Servlet container.

  • Идентификатор CVE: CVE-2025-41242.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неактуальным.

  • Комментарий: Spring не обслуживает статические ресурсы, BE разворачивается на Tomcat или Wildfly, которые по умолчанию запрещают подозрительные символы в URL-запросах. Соответствующие этому конфигурации не изменяются.

  1. Название уязвимости: CVE-2024-38820 ensured Locale-independent, lowercase conversion for both the configured disallowedFields patterns and for request parameter names.

  • Идентификатор CVE: CVE-2025-22233.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: На DG 2.14 не влияет. Метод disallowedFields не используется.

  1. Название уязвимости: In Spring Framework, versions 6.0.x as of 6.0.5, versions 6.1.x and 6.2.x, an application is vulnerable to a reflected file download (RFD) attack when it sets a “Content-Disposition” header with a non-ASCII charset, where the filename attribute is derived from user-supplied input.

  • Идентификатор CVE: CVE-2025-41234.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Для DG 2.14 не актуально, все ещё используется Spring Framework 5.3.39, в котором этой уязвимости нет.

  1. Название уязвимости: Spring MVC controller methods with an @RequestBody byte[] method parameter are vulnerable to a DoS attack.

  • Идентификатор CVE: CVE-2024-38828.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимости нет, потому что контроллеры с аннотацией RequestBody и типом byte[] не используются.

  1. Название уязвимости: Spring Security versions 5.3.x prior to 5.3.2, 5.2.x prior to 5.2.4, 5.1.x prior to 5.1.10, 5.0.x prior to 5.0.16 and 4.2.x prior to 4.2.16 use a fixed null initialization vector with CBC Mode in the implementation of the queryable text encryptor.

  • Идентификатор CVE: CVE-2020-5408.

  • Уровень серьезности: Medium.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимость не затрагивает версию springframework.security 5.8.12.

  1. Название уязвимости: The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive.

  • Идентификатор CVE: CVE-2024-38820.

  • Уровень серьезности: Medium.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимость не затрагивает ДГ, потому что метод disallowedFields не используется.

  1. Название уязвимости: Pivotal Spring Framework through 5.3.16 suffers from a potential remote code execution (RCE) issue if used for Java deserialization of untrusted data.

  • Идентификатор CVE: CVE-2016-1000027.

  • Уровень серьезности: Critical.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимости нет, HttpInvoker не используется.

  1. Название уязвимости: Hazelcast Management Center through 6.0 allows remote code execution via a JndiLoginModule user.provider.url in a hazelcast-client XML document (aka a client configuration file), which can be uploaded at the /cluster-connections URI.

  • Идентификатор CVE: CVE-2024-56518.

  • Уровень серьезности: Critical.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимость CVE-2024-56518 не относится к продукту Universe DG. Уязвимость CVE-2024-56518 относится к Hazelcast Management Center, который не используется в продукте Universe DG.

  1. Название уязвимости: CVE: netty-codec-http 4.1.125.Final io.netty CVE-2025-67735

  • Идентификатор CVE: CVE-2025-67735.

  • Уровень серьезности: Critical.

  • Способ исправления: Для профилактики было принято решение обновить vertx-grpc до версии 4.5.24, в которой используется netty-codec-http версии 4.1.130 Final, не подверженной данной уязвимости.

  • Комментарий: DG 2.14.5 напрямую не уязвима. Библиотека netty-codec-http используется как транзитивная зависимость через vertx-grpc, при этом HttpRequestEncoder не используется.

  1. Название уязвимости: io.netty:netty-transport-native-epoll CVE-2026-42577

  • Идентификатор CVE: CVE-2026-42577.

  • Уровень серьезности: High.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: CVE неприменима к этой версии, так как затрагивает только версии 4.2.x и 5.0.x. В продукте используется 4.1, к которой текущая cve неприменима.

  1. Название уязвимости: org.apache.camel:camel-mail CVE-2026-33454

  • Идентификатор CVE: CVE-2026-33454.

  • Уровень серьезности: Critical.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимость не применима, так как платформа не читает входящие письма с помощью компонента camel-mail ни по протоколу IMAP, ни по POP3. Система отправляет письма от лица почтового ящика, который был настроен в конфигурациях системы.