Исправление уязвимостей безопасности

Версия 2.14

Обновленные библиотеки

  1. Название уязвимости: CWE-770: Allocation of Resources Without Limits or Throttling.

  • Идентификатор CVE: CVE-2025-55163.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Версия обновлена до 4.1.125.Final.

  1. Название уязвимости: CWE-409: Improper Handling of Highly Compressed Data (Data Amplification).

  • Идентификатор CVE: CVE-2025-58057.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлен vertx-grpc до 4.5.21, который содержит исправленный netty-codec-http2 версии 4.1.125.Final.

  1. Название уязвимости: CWE-444: Inconsistent Interpretation of HTTP Requests ("HTTP Request/Response Smuggling").

  • Идентификатор CVE: CVE-2025-58056.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлен vertx-grpc до 4.5.21, который содержит исправленный netty-codec-http2 версии 4.1.125.Final.

  1. Название уязвимости: Connect2id Nimbus JOSE + JWT before 10.0.2 allows a remote attacker to cause a denial of service via a deeply nested JSON object supplied in a JWT claim set, because of uncontrolled recursion.

  • Идентификатор CVE: CVE-2025-53864.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена версия до 2.12.1.

  1. Название уязвимости: Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.132.Final and 4.2.10.Final, Netty incorrectly parses quoted strings in HTTP/1.1 chunked transfer encoding extension values, enabling request smuggling attacks.

  • Идентификатор CVE: CVE-2026-33870.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена версия до 4.1.132.Final.

  1. Название уязвимости: Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.132.Final and 4.2.10.Final, a remote user can trigger a Denial of Service (DoS) against a Netty HTTP/2 server by sending a flood of CONTINUATION frames. The server's lack of a limit on the number of CONTINUATION frames, combined with a bypass of existing size-based mitigations using zero-byte frames, allows an user to cause excessive CPU consumption with minimal bandwidth, rendering the server unresponsive.

  • Идентификатор CVE: CVE-2026-33871.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена версия до 4.2.11.Final.

  1. Название уязвимости: The Vert.x Web static handler component cache can be manipulated to deny the access to static files served by the handler using specifically crafted request URI. The issue comes from an improper implementation of the C. rule of section 5.2.4 of RFC3986 and is fixed in Vert.x Core component (used by Vert.x Web).

  • Идентификатор CVE: CVE-2026-1002.

  • Уровень серьезности: Medium.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека io.vertx:vertx-core до версии 4.5.21.

  1. Название уязвимости: The non-blocking (async) JSON parser in jackson-core bypasses the maxNumberLength constraint (default: 1000 characters) defined in StreamReadConstraints. This allows an attacker to send JSON with arbitrarily long numbers through the async parser API, leading to excessive memory allocation and potential CPU exhaustion, resulting in a Denial of Service (DoS).

  • Идентификатор CVE: GHSA-72hv-8253-57qq.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека com.fasterxml.jackson.core:jackson-core до версии 2.17.0.

  1. Название уязвимости: The usage of String.toLowerCase() and String.toUpperCase() has some Locale dependent exceptions that could potentially result in authorization rules not working properly.

  • Идентификатор CVE: CVE-2024-38827.

  • Уровень серьезности: Unknown.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека org.springframework.security:spring-security-core до версии 5.8.12.

  1. Название уязвимости: ACE vulnerability in JaninoEventEvaluator by QOS.CH logback-core upto including version 0.1 to 1.3.14 and 1.4.0 to 1.5.12 in Java applications allows attacker to execute arbitrary code by compromising an existing logback configuration file or by injecting an environment variable before program execution. Malicious logback configuration files can allow the attacker to execute arbitrary code using the JaninoEventEvaluator extension. A successful attack requires the user to have write access to a configuration file. Alternatively, the attacker could inject a malicious environment variable pointing to a malicious configuration file. In both cases, the attack requires existing privilege.

  • Идентификатор CVE: CVE-2024-12798.

  • Уровень серьезности: Medium.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека ch.qos.logback:logback-core до версии 1.5.13.

Исправление кода или неприменимость

  1. Название уязвимости: CWE-639: Authorization Bypass Through User-Controlled Key.

  • Идентификатор CVE: CVE-2025-41249.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. В продукте используется только security-аннотация @PreAuthorize для проверки прав в классах REST-сервисов, которые не являются generic-классами или generic-интерфейсами.

  1. Название уязвимости: Spring Framework MVC applications can be vulnerable to a “Path Traversal Vulnerability” when deployed on a non-compliant Servlet container.

  • Идентификатор CVE: CVE-2025-41242.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неактуальным.

  • Комментарий: Spring не обслуживает статические ресурсы, BE разворачивается на Tomcat или Wildfly, которые по умолчанию запрещают подозрительные символы в URL-запросах. Соответствующие этому конфигурации не изменяются.

  1. Название уязвимости: CVE-2024-38820 ensured Locale-independent, lowercase conversion for both the configured disallowedFields patterns and for request parameter names.

  • Идентификатор CVE: CVE-2025-22233.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: На DG 2.14 не влияет. Метод disallowedFields не используется.

  1. Название уязвимости: In Spring Framework, versions 6.0.x as of 6.0.5, versions 6.1.x and 6.2.x, an application is vulnerable to a reflected file download (RFD) attack when it sets a “Content-Disposition” header with a non-ASCII charset, where the filename attribute is derived from user-supplied input.

  • Идентификатор CVE: CVE-2025-41234.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Для DG 2.14 не актуально, все ещё используется Spring Framework 5.3.39, в котором этой уязвимости нет.

  1. Название уязвимости: Spring MVC controller methods with an @RequestBody byte[] method parameter are vulnerable to a DoS attack.

  • Идентификатор CVE: CVE-2024-38828.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимости нет, потому что контроллеры с аннотацией RequestBody и типом byte[] не используются.

  1. Название уязвимости: Spring Security versions 5.3.x prior to 5.3.2, 5.2.x prior to 5.2.4, 5.1.x prior to 5.1.10, 5.0.x prior to 5.0.16 and 4.2.x prior to 4.2.16 use a fixed null initialization vector with CBC Mode in the implementation of the queryable text encryptor.

  • Идентификатор CVE: CVE-2020-5408.

  • Уровень серьезности: Medium.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимость не затрагивает версию springframework.security 5.8.12.

  1. Название уязвимости: The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive.

  • Идентификатор CVE: CVE-2024-38820.

  • Уровень серьезности: Medium.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимость не затрагивает ДГ, потому что метод disallowedFields не используется.

  1. Название уязвимости: Pivotal Spring Framework through 5.3.16 suffers from a potential remote code execution (RCE) issue if used for Java deserialization of untrusted data.

  • Идентификатор CVE: CVE-2016-1000027.

  • Уровень серьезности: Critical.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимости нет, HttpInvoker не используется.

  1. Название уязвимости: Hazelcast Management Center through 6.0 allows remote code execution via a JndiLoginModule user.provider.url in a hazelcast-client XML document (aka a client configuration file), which can be uploaded at the /cluster-connections URI.

  • Идентификатор CVE: CVE-2024-56518.

  • Уровень серьезности: Critical.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимость CVE-2024-56518 не относится к продукту Universe DG. Уязвимость CVE-2024-56518 относится к Hazelcast Management Center, который не используется в продукте Universe DG.

  1. Название уязвимости: CVE: netty-codec-http 4.1.125.Final io.netty CVE-2025-67735

  • Идентификатор CVE: CVE-2025-67735.

  • Уровень серьезности: Critical.

  • Способ исправления: Для профилактики было принято решение обновить vertx-grpc до версии 4.5.24, в которой используется netty-codec-http версии 4.1.130 Final, не подверженной данной уязвимости.

  • Комментарий: DG 2.14.5 напрямую не уязвима. Библиотека netty-codec-http используется как транзитивная зависимость через vertx-grpc, при этом HttpRequestEncoder не используется.