Исправление уязвимостей безопасности

Версия 2.14

Обновленные библиотеки

  1. Название уязвимости: CWE-770: Allocation of Resources Without Limits or Throttling.

  • Идентификатор CVE: CVE-2025-55163.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Версия обновлена до 4.1.125.Final.

  1. Название уязвимости: CWE-409: Improper Handling of Highly Compressed Data (Data Amplification).

  • Идентификатор CVE: CVE-2025-58057.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлен vertx-grpc до 4.5.21, который содержит исправленный netty-codec-http2 версии 4.1.125.Final.

  1. Название уязвимости: CWE-444: Inconsistent Interpretation of HTTP Requests ("HTTP Request/Response Smuggling").

  • Идентификатор CVE: CVE-2025-58056.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлен vertx-grpc до 4.5.21, который содержит исправленный netty-codec-http2 версии 4.1.125.Final.

  1. Название уязвимости: Connect2id Nimbus JOSE + JWT before 10.0.2 allows a remote attacker to cause a denial of service via a deeply nested JSON object supplied in a JWT claim set, because of uncontrolled recursion.

  • Идентификатор CVE: CVE-2025-53864.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена версия до 2.12.1.

Исправление кода или неприменимость

  1. Название уязвимости: CWE-639: Authorization Bypass Through User-Controlled Key.

  • Идентификатор CVE: CVE-2025-41249.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. В продукте используется только security-аннотация @PreAuthorize для проверки прав в классах REST-сервисов, которые не являются generic-классами или generic-интерфейсами.

  1. Название уязвимости: Spring Framework MVC applications can be vulnerable to a “Path Traversal Vulnerability” when deployed on a non-compliant Servlet container.

  • Идентификатор CVE: CVE-2025-41242.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неактуальным.

  • Комментарий: Spring не обслуживает статические ресурсы, BE разворачивается на Tomcat или Wildfly, которые по умолчанию запрещают подозрительные символы в URL-запросах. Соответствующие этому конфигурации не изменяются.

  1. Название уязвимости: CVE-2024-38820 ensured Locale-independent, lowercase conversion for both the configured disallowedFields patterns and for request parameter names.

  • Идентификатор CVE: CVE-2025-22233.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: На DG 2.14 не влияет. Метод disallowedFields не используется.

  1. Название уязвимости: In Spring Framework, versions 6.0.x as of 6.0.5, versions 6.1.x and 6.2.x, an application is vulnerable to a reflected file download (RFD) attack when it sets a “Content-Disposition” header with a non-ASCII charset, where the filename attribute is derived from user-supplied input.

  • Идентификатор CVE: CVE-2025-41234.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Для DG 2.14 не актуально, все ещё используется Spring Framework 5.3.39, в котором этой уязвимости нет.

  1. Название уязвимости: Spring MVC controller methods with an @RequestBody byte[] method parameter are vulnerable to a DoS attack.

  • Идентификатор CVE: CVE-2024-38828.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимости нет, потому что контроллеры с аннотацией RequestBody и типом byte[] не используются.

  1. Название уязвимости: Spring Security versions 5.3.x prior to 5.3.2, 5.2.x prior to 5.2.4, 5.1.x prior to 5.1.10, 5.0.x prior to 5.0.16 and 4.2.x prior to 4.2.16 use a fixed null initialization vector with CBC Mode in the implementation of the queryable text encryptor.

  • Идентификатор CVE: CVE-2020-5408.

  • Уровень серьезности: Medium.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимость не затрагивает версию springframework.security 5.8.12.

  1. Название уязвимости: The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive.

  • Идентификатор CVE: CVE-2024-38820.

  • Уровень серьезности: Medium.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимость не затрагивает ДГ, потому что метод disallowedFields не используется.

  1. Название уязвимости: Pivotal Spring Framework through 5.3.16 suffers from a potential remote code execution (RCE) issue if used for Java deserialization of untrusted data.

  • Идентификатор CVE: CVE-2016-1000027.

  • Уровень серьезности: Critical.

  • Способ исправления: Уязвимость не затрагивает ДГ.

  • Комментарий: Уязвимости нет, HttpInvoker не используется.