Исправление уязвимостей безопасности

Версия 6.13

Обновленные библиотеки

  1. Название уязвимости: Bypass/Injection vulnerability in Apache Camel.

  • Идентификатор CVE: CVE-2025-29891.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Библиотеки camel-* используемые в проекте были обновлены до последней версии 3.22.4, поддерживающей Java 11. Уязвимость в них была устранена.

  1. Название уязвимости: ACE vulnerability in JaninoEventEvaluator by QOS.CH logback-core.

  • Идентификатор CVE: CVE-2024-12798.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление logback до 1.5.13.

  • Комментарий: Изменение класса SizeAndTimeBasedFNATP на SizeAndTimeBasedFileNamingAndTriggeringPolicy в конфигурации logback.xml по причине переименования в logback 1.5.8. Конфигурации со старым классом не будут работать.

  1. Название уязвимости: Improper Access Control vulnerability in Apache Commons.

  • Идентификатор CVE: CVE-2025-48734.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Библиотека commons-beanutils обновлена с версии 1.9.4 до 1.11.0.

  • Комментарий: Уязвимость формально присутствует (используется PropertyUtils, который зависит от PropertyUtilsBean) но в текущей реализации невозможна, потому что уязвимые методы используются только при конфигурировании DataSource в PoolSettingConfigurer. Свойства остаются под контролем, их имена берутся напрямую из PoolSetting, отсутствует передача внешних данных. Код не работает с enum типами, где можно было бы обратиться к declaredClass.

  1. Название уязвимости: The attacks involves the modification of DOCTYPE declaration in XML configuration files.

  • Идентификатор CVE: CVE-2024-12801.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление logback до 1.5.13.

  • Комментарий: Изменение класса SizeAndTimeBasedFNATP на SizeAndTimeBasedFileNamingAndTriggeringPolicy в конфигурации logback.xml по причине переименования в logback 1.5.8. Конфигурации со старым классом не будут работать.

  1. Название уязвимости: Improper Access Control vulnerability in Apache Commons.

  • Идентификатор CVE: CVE-2025-48734.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Библиотеки camel-* используемые в проекте были обновлены до последней версии 3.22.4, поддерживающей Java 11. Уязвимость в них была устранена.

  1. Название уязвимости: A vulnerability in Spring LDAP allows data exposure for case sensitive comparisons.

  • Идентификатор CVE: CVE-2024-38829.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Библиотека spring-ldap-core была обновлена до версии 2.4.4, где уязвимость была устранена.

  1. Название уязвимости: Improper Input Validation vulnerability in Apache POI.

  • Идентификатор CVE: CVE-2025-31672.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Библиотека была обновлена до последней версии 5.4.1, где уязвимость была устранена.

Исправление кода или неприменимость

  1. Название уязвимости: Pivotal Spring Framework through 5.3.16 suffers from a potential remote code execution (RCE) issue if used for Java deserialization of untrusted data.

  • Идентификатор CVE: CVE-2016-1000027.

  • Уровень серьезности: Critical.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не оказывает влияния на платформу. HttpInvoker не используется.

  1. Название уязвимости: Incorrect Implementation of Authentication Algorithm in Apache Kafka's SCRAM implementation.

  • Идентификатор CVE: CVE-2024-56128.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Аутентификация не используется платформой.

  • Комментарий: МДМ не управляет брокерами, на платформу не влияет, kafka-clients - это зависимость различных библиотек camel. Обновить версии camel не представляется возможным, потому что обновления библиотеки несовместимы с Java 11.

  1. Название уязвимости: Files or Directories Accessible to External Parties, Improper Privilege Management vulnerability in Apache Kafka Clients.

  • Идентификатор CVE: CVE-2024-31141.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не влияет на платформу. В ней используются пользовательские десериализаторы, которые не подвержены угрозе. Обновить версию нельзя, потому что обновления библиотеки несовместимы с Java 11.

  1. Название уязвимости: A possible arbitrary file read and SSRF vulnerability has been identified in Apache Kafka Client.

  • Идентификатор CVE: CVE-2025-27817.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не влияет на платформу. В ней используются пользовательские десериализаторы, которые не подвержены угрозе. Обновить версию нельзя, потому что обновления библиотеки несовместимы с Java 11.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java.

  • Идентификатор CVE: CVE-2023-34455.

  • Уровень серьезности: High.

  • Способ исправления: Уязвимость не влияет на платформу.

  • Комментарий: Функция не используется. Библиотека snappy-java является зависимостью kafka-client, которая в свою очередь является зависимостью библиотек camel. Обновить библиотеку camel невозможно, потому что следующие версии не поддерживают Java 11.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java.

  • Идентификатор CVE: CVE-2023-34454.

  • Уровень серьезности: High.

  • Способ исправления: Уязвимость не влияет на платформу.

  • Комментарий: Функция не используется. Библиотека snappy-java является зависимостью kafka-client, которая в свою очередь является зависимостью библиотек camel. Обновить библиотеку camel невозможно, потому что следующие версии не поддерживают Java 11.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java.

  • Идентификатор CVE: CVE-2023-34453.

  • Уровень серьезности: High.

  • Способ исправления: Уязвимость не влияет на платформу.

  • Комментарий: Функция не используется. Библиотека snappy-java является зависимостью kafka-client, которая в свою очередь является зависимостью библиотек camel. Обновить библиотеку camel невозможно, потому что следующие версии не поддерживают Java 11.

  1. Название уязвимости: A possible security vulnerability has been identified in Apache Kafka.

  • Идентификатор CVE: CVE-2025-27818.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Уязвимость не влияет на платформу.

  • Комментарий: Уязвимость связана c конфигурацией аутентификации. Платформа не управляет конфигурацией брокера, аутентификация не используется, уязвимость не влияет. Kafka-clients - это зависимость различных библиотек camel. Обновить версии нельзя невозможно, потому что следующие обновления библиотеки несовместимы с Java 11.

  1. Название уязвимости: A malicious user with access to the data that has been encrypted using such an encryptor may be able to derive the unencrypted values using a dictionary attack.

  • Идентификатор CVE: CVE-2020-5408.

  • Уровень серьезности: Medium.

  • Способ исправления: Уязвимость не влияет на Юниверс MDM.

  • Комментарий: Используемая версия Spring Security - 5.8.12 - не попадает под уязвимые версии указанные в CVE.

  1. Название уязвимости: BCryptPasswordEncoder.matches(CharSequence,String) will incorrectly return true for passwords larger than 72 characters as long as the first 72 characters are the same.

  • Идентификатор CVE: CVE-2025-22228.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Длина пароля в платформе ограничена 72 символами.

  1. Название уязвимости: The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive.

  • Идентификатор CVE: CVE-2024-38820.

  • Уровень серьезности: Medium.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Метод disallowedFields не используется. Статус актуален и для платформы, disallowedFields не используется.

  1. Название уязвимости: CVE-2024-38820 ensured Locale-independent, lowercase conversion for both the configured disallowedFields patterns and for request parameter names.

  • Идентификатор CVE: CVE-2025-22233.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не относится к платформе, потому чтоdisallowedFields не используется.

  1. Название уязвимости: Spring MVC controller methods with an @RequestBody byte[] method parameter are vulnerable to a DoS attack.

  • Идентификатор CVE: CVE-2024-38828.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: В методах Rest контроллеров Spring аннотация RequestBody не используется. Контроллеры с аннотацией RequestBody типа byte[] не используются.

  1. Название уязвимости: Description In Spring Framework, versions 6.0.x as of 6.0.5, versions 6.1.x and 6.2.x, an application is vulnerable to a reflected file download (RFD) attack when it sets a “Content-Disposition” header with a non-ASCII charset.

  • Идентификатор CVE: CVE-2025-41234.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость актуальна только для Spring Framework версий: 6.2.0 - 6.2.7; 6.1.0 - 6.1.20; 6.0.5 - 6.0.28. Продуктом используется версия Spring Framework 5.3.39. Заголовок Content-Disposition заполняется вручную, в качестве имен файлов используются константы или имена уже существующих файлов.