Исправление уязвимостей безопасности

Версия 2.15

Исправление кода или неприменимость

  1. Название уязвимости: CVE: spring-web 5.3.39 org.springframework CVE-2016-1000027.

  • Идентификатор CVE: CVE-2016-1000027.

  • Уровень серьезности: Critical.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. HttpInvoker не используется.

  1. Название уязвимости: CVE: spring-core: 5.3.39 - org.springframework CVE-2025-41249.

  • Идентификатор CVE: CVE-2025-41249.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. В продукте используется только security-аннотация @PreAuthorize для проверки прав в классах REST-сервисов, которые не являются generic-классами или generic-интерфейсами.

  1. Название уязвимости: CVE: spring-security-crypto: 5.8.12 - org.springframework.security CVE-2025-22228.

  • Идентификатор CVE: CVE-2025-22228.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. Пароль ограничен 72 символами.

  1. Название уязвимости: CVE: spring-web: 5.3.39 - org.springframework CVE-2024-38828.

  • Идентификатор CVE: CVE-2024-38828.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. Контроллеры с аннотацией RequestBody и типом byte[] не используются.

  1. Название уязвимости: CVE: spring-web: 5.3.39 - org.springframework CVE-2025-41234.

  • Идентификатор CVE: CVE-2025-41234.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. Используется Spring Framework 5.3.39, в котором этой уязвимости нет.

  1. Название уязвимости: CVE: spring-security-crypto - 5.8.12 - org.springframework.security CVE-2020-5408.

  • Идентификатор CVE: CVE-2020-5408.

  • Уровень серьезности: Medium.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. Уязвимость не затрагивает версию springframework.security 5.8.12.

  1. Название уязвимости: CVE: spring-core: 5.3.39 - org.springframework CVE-2025-41242.

  • Идентификатор CVE: CVE-2025-41242.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. Spring не обслуживает статические ресурсы, Backend разворачивается на Tomcat или Wildfly, которые по умолчанию запрещают подозрительные символы в URL-запросах. Соответствующие этому конфигурации не изменяются.

  1. Название уязвимости: CVE: spring-core: 5.3.39 - org.springframework CVE-2025-41242.

  • Идентификатор CVE: CVE-2025-41242.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. Spring не обслуживает статические ресурсы, Backend разворачивается на Tomcat или Wildfly, которые по умолчанию запрещают подозрительные символы в URL-запросах. Соответствующие этому конфигурации не изменяются.

  1. Название уязвимости: CVE: spring-context 5.3.39 org.springframework CVE-2024-38820.

  • Идентификатор CVE: CVE-2024-38820.

  • Уровень серьезности: Medium.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. Метод disallowedFields не используется.

  1. Название уязвимости: CVE: spring-context: 5.3.39 - org.springframework CVE-2025-22233.

  • Идентификатор CVE: CVE-2025-22233.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. Метод disallowedFields не используется.

  1. Название уязвимости: CVE: logback-core 1.5.13 ch.qos.logback CVE-2025-11226.

  • Идентификатор CVE: CVE-2025-11226.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. Уязвимость связана с обработкой условных выражений в конфигурации Logback, которые могут привести к выполнению произвольного кода при обработке специально подготовленного конфигурационного файла или при подмене переменных окружения. Эксплуатация данной уязвимости доступна только при наличии библиотеки Janino в classpath, т.к. именно она используется для компиляции и выполнения условных выражений.

  1. Название уязвимости: CVE: vertx-core 4.5.21 io.vertx CVE-2026-1002.

  • Идентификатор CVE: CVE-2026-1002.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. Уязвимость касается компонента Vert.x Web StaticHandler, который используется для раздачи статических файлов через HTTP с включенным кэшем. Vertx-сore транзитивно обновился до версии 4.1.130 Final, в которой уязвимость исправлена.

  1. Название уязвимости: CVE: testng 7.5.1 org.testng CVE-2022-4065.

  • Идентификатор CVE: CVE-2022-4065.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не затрагивает ДГ. Используется версия 7.5.1 TestNG, в которой уязвимость устранена.