Исправление уязвимостей безопасности

Версия 6.14

Обновленные библиотеки

  1. Название уязвимости: Apache CXF: Denial of Service and sensitive data exposure in logs.

  • Идентификатор CVE: CVE-2025-48795.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека cxf-core до версии 3.5.11.

  1. Название уязвимости: Apache Commons Lang, Apache Commons Lang: ClassUtils.getClass(...) can throw a StackOverflowError on very long inputs

  • Идентификатор CVE: CVE-2025-48924.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека commons-lang3 до версии 3.18.0.

  1. Название уязвимости: Allocation of Resources Without Limits or Throttling.

  • Идентификатор CVE: CVE-2025-55163.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека vertx-grpc до версии 4.5.21, которая содержит исправленный netty-codec-http2 версии 4.1.125.Final.

  1. Название уязвимости: Improper Handling of Highly Compressed Data (Data Amplification).

  • Идентификатор CVE: CVE-2025-58057.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека vertx-grpc до 4.5.21, которая содержит исправленный netty-codec-http2 версии 4.1.125.Final.

  1. Название уязвимости: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling')

  • Идентификатор CVE: CVE-2025-58056.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека vertx-grpc до 4.5.21, которая содержит исправленный netty-codec-http2 версии 4.1.125.Final.

  1. Название уязвимости: Bypass/Injection vulnerability in Apache Camel.

  • Идентификатор CVE: CVE-2025-53864.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: CVE описывает возможность DoS-атаки при разборе глубоко вложенных JSON-объектов из-за отсутствия контроля глубины вложенности. К MDM 6.14 напрямую не применимо. CVE указывает на библиотеку nimbus-jose-jwt, которая в MDM отсутствует. Однако nimbus-jose-jwt попал под CVE поскольку gson не ограничивал глубину вложенности. Сам gson используется только транзитивно (через javers-core и consul-api) и не применяется для разбора пользовательских JSON. В любом случае gson остается потенциально уязвимым, поэтому он был обновлен до версии 2.12.1, в которой была добавлена проверка глубины вложенности.

Исправление кода или неприменимость

  1. Название уязвимости: HttpInvokerServiceExporter readRemoteInvocation method untrusted java deserialization.

  • Идентификатор CVE: CVE-2016-1000027.

  • Уровень серьезности: Critical.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не оказывает влияния на платформу. HttpInvoker не используется.

  1. Название уязвимости: Files or Directories Accessible to External Parties, Improper Privilege Management vulnerability in Apache Kafka Clients.

  • Идентификатор CVE: CVE-2024-31141.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Библиотека kafka-clients используется транзитивно из camel. Использование Kafka статическое, без уязвимых ConfigProvider'ов. Обновить версию не получится, т.к. последующие версии camel требуют Java 17.

  1. Название уязвимости: Apache Kafka Client: Arbitrary file read and SSRF vulnerability.

  • Идентификатор CVE: CVE-2025-27817.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Библиотека kafka-clients используется транзитивно из camel. Аутентификация все ещё не используется, MDM не управляет брокерами. Обновить версию не получится, т.к. последующие версии camel требуют Java 17.

  1. Название уязвимости: CVE-2024-38820 ensured Locale-independent, lowercase conversion for both the configured disallowedFields patterns and for request parameter names.

  • Идентификатор CVE: CVE-2025-22233.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Метод disallowedFields не используется.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java. Due to unchecked multiplications, an integer overflow may occur in versions prior to 1.1.10.1, causing an unrecoverable fatal error.

  • Идентификатор CVE: CVE-2023-34454.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Функция Snappy#compress(char[] input) не используется. Библиотека является транзитивной зависимостью camel, которую невозможно обновить, т.к. последующие версии требуют Java 17.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java. Due to unchecked multiplications, an integer overflow may occur in versions prior to 1.1.10.1, causing a fatal error.

  • Идентификатор CVE: CVE-2023-34453.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Функция BitShuffle#shuffle(int[] input) не используется. Библиотека является транзитивной зависимостью camel, которую невозможно обновить, т.к. последующие версии требуют Java 17.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java. Due to use of an unchecked chunk length, an unrecoverable fatal error can occur in versions prior to 1.1.10.1.

  • Идентификатор CVE: CVE-2023-34455.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Функция SnappyInputStream#hasNextChunk() не используется. Библиотека является транзитивной зависимостью camel, которую невозможно обновить, т.к. последующие версии требуют Java 17.

  1. Название уязвимости: Dictionary attack with Spring Security queryable text encryptor.

  • Идентификатор CVE: CVE-2020-5408.

  • Уровень серьезности: Medium.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Для MDM 6.14 статус прежний. Уязвимость не затрагивает версию springframework.security 5.8.12

  1. Название уязвимости: Spring MVC controller methods with an @RequestBody byte[] method parameter are vulnerable to a DoS attack.

  • Идентификатор CVE: CVE-2024-38828.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Для MDM 6.14 статус прежний. Уязвимости нет, т.к. контроллеры с аннотацией RequestBody и типом byte[] не используются.

  1. Название уязвимости: Incorrect Implementation of Authentication Algorithm in Apache Kafka's SCRAM implementation.

  • Идентификатор CVE: CVE-2024-56128.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Библиотека kafka-clients используется транзитивно из camel. Аутентификация все ещё не используется, MDM не управляет брокерами. Обновить версию не получится, т.к. последующие версии camel требуют Java 17.

  1. Название уязвимости: A possible security vulnerability has been identified in Apache Kafka.

  • Идентификатор CVE: CVE-2025-27818.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Библиотека kafka-clients используется транзитивно из camel. Аутентификация все ещё не используется, MDM не управляет брокерами. Обновить версию не получится, т.к. последующие версии camel требуют Java 17.

  1. Название уязвимости: BCryptPasswordEncoder.matches(CharSequence,String) will incorrectly return true for passwords larger than 72 characters as long as the first 72 characters are the same.

  • Идентификатор CVE: CVE-2025-22228.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Для MDM 6.14 статус прежний. Пароль ограничен 72 символами, уязвимости нет

  1. Название уязвимости: Description In Spring Framework, versions 6.0.x as of 6.0.5, versions 6.1.x and 6.2.x, an application is vulnerable to a reflected file download (RFD) attack when it sets a “Content-Disposition” header with a non-ASCII charset, where the filename attribute is derived from user-supplied input.

  • Идентификатор CVE: CVE-2025-41234.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Для MDM 6.14 не актуально, все ещё используется Spring Framework 5.3.39, в котором этой уязвимости нет.

  1. Название уязвимости: Authorization Bypass Through User-Controlled Key.

  • Идентификатор CVE: CVE-2025-41249.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость актуальна, когда используется аннотация EnableMethodSecurity и есть security-аннотации на generic-суперклассах или generic-интерфейсах. MDM 6.14 не уязвима, так как EnableMethodSecurity используется только в модуле мониторинга (com.universe.mdm.rest.v1.monitoring.core), в котором нет generic-суперклассов и generic-интерфейсов с security-аннотациями.

  1. Название уязвимости: Authorization Bypass Through User-Controlled Key.

  • Идентификатор CVE: CVE-2025-41249.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость актуальна, когда используется аннотация EnableMethodSecurity и есть security-аннотации на generic-суперклассах или generic-интерфейсах. MDM 6.14 не уязвима, так как EnableMethodSecurity используется только в модуле мониторинга (com.universe.mdm.rest.v1.monitoring.core), в котором нет generic-суперклассов и generic-интерфейсов с security-аннотациями.

  1. Название уязвимости: The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive.

  • Идентификатор CVE: CVE-2024-38820.

  • Уровень серьезности: Medium.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Метод disallowedFields не используется.

  1. Название уязвимости: Spring Framework MVC applications can be vulnerable to a “Path Traversal Vulnerability” when deployed on a non-compliant Servlet container.

  • Идентификатор CVE: CVE-2025-41242.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не актуально для MDM 6.14, поскольку spring не обслуживает статические ресурсы и BE разворачивается на Tomcat или Wildfly, которые по умолчанию запрещают подозрительные символы в URL-запросах. Соответствующие этому конфигурации не изменяются.

Версия 6.13

Обновленные библиотеки

  1. Название уязвимости: Bypass/Injection vulnerability in Apache Camel.

  • Идентификатор CVE: CVE-2025-29891.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Библиотеки camel-* используемые в проекте были обновлены до последней версии 3.22.4, поддерживающей Java 11. Уязвимость в них была устранена.

  1. Название уязвимости: ACE vulnerability in JaninoEventEvaluator by QOS.CH logback-core.

  • Идентификатор CVE: CVE-2024-12798.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление logback до 1.5.13.

  • Комментарий: Изменение класса SizeAndTimeBasedFNATP на SizeAndTimeBasedFileNamingAndTriggeringPolicy в конфигурации logback.xml по причине переименования в logback 1.5.8. Конфигурации со старым классом не будут работать.

  1. Название уязвимости: Improper Access Control vulnerability in Apache Commons.

  • Идентификатор CVE: CVE-2025-48734.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Библиотека commons-beanutils обновлена с версии 1.9.4 до 1.11.0.

  • Комментарий: Уязвимость формально присутствует (используется PropertyUtils, который зависит от PropertyUtilsBean) но в текущей реализации невозможна, потому что уязвимые методы используются только при конфигурировании DataSource в PoolSettingConfigurer. Свойства остаются под контролем, их имена берутся напрямую из PoolSetting, отсутствует передача внешних данных. Код не работает с enum типами, где можно было бы обратиться к declaredClass.

  1. Название уязвимости: The attacks involves the modification of DOCTYPE declaration in XML configuration files.

  • Идентификатор CVE: CVE-2024-12801.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление logback до 1.5.13.

  • Комментарий: Изменение класса SizeAndTimeBasedFNATP на SizeAndTimeBasedFileNamingAndTriggeringPolicy в конфигурации logback.xml по причине переименования в logback 1.5.8. Конфигурации со старым классом не будут работать.

  1. Название уязвимости: Improper Access Control vulnerability in Apache Commons.

  • Идентификатор CVE: CVE-2025-48734.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Библиотеки camel-* используемые в проекте были обновлены до последней версии 3.22.4, поддерживающей Java 11. Уязвимость в них была устранена.

  1. Название уязвимости: A vulnerability in Spring LDAP allows data exposure for case sensitive comparisons.

  • Идентификатор CVE: CVE-2024-38829.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Библиотека spring-ldap-core была обновлена до версии 2.4.4, где уязвимость была устранена.

  1. Название уязвимости: Improper Input Validation vulnerability in Apache POI.

  • Идентификатор CVE: CVE-2025-31672.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Библиотека была обновлена до последней версии 5.4.1, где уязвимость была устранена.

Исправление кода или неприменимость

  1. Название уязвимости: Pivotal Spring Framework through 5.3.16 suffers from a potential remote code execution (RCE) issue if used for Java deserialization of untrusted data.

  • Идентификатор CVE: CVE-2016-1000027.

  • Уровень серьезности: Critical.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не оказывает влияния на платформу. HttpInvoker не используется.

  1. Название уязвимости: Incorrect Implementation of Authentication Algorithm in Apache Kafka's SCRAM implementation.

  • Идентификатор CVE: CVE-2024-56128.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Аутентификация не используется платформой.

  • Комментарий: МДМ не управляет брокерами, на платформу не влияет, kafka-clients - это зависимость различных библиотек camel. Обновить версии camel не представляется возможным, потому что обновления библиотеки несовместимы с Java 11.

  1. Название уязвимости: Files or Directories Accessible to External Parties, Improper Privilege Management vulnerability in Apache Kafka Clients.

  • Идентификатор CVE: CVE-2024-31141.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не влияет на платформу. В ней используются пользовательские десериализаторы, которые не подвержены угрозе. Обновить версию нельзя, потому что обновления библиотеки несовместимы с Java 11.

  1. Название уязвимости: A possible arbitrary file read and SSRF vulnerability has been identified in Apache Kafka Client.

  • Идентификатор CVE: CVE-2025-27817.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не влияет на платформу. В ней используются пользовательские десериализаторы, которые не подвержены угрозе. Обновить версию нельзя, потому что обновления библиотеки несовместимы с Java 11.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java.

  • Идентификатор CVE: CVE-2023-34455.

  • Уровень серьезности: High.

  • Способ исправления: Уязвимость не влияет на платформу.

  • Комментарий: Функция не используется. Библиотека snappy-java является зависимостью kafka-client, которая в свою очередь является зависимостью библиотек camel. Обновить библиотеку camel невозможно, потому что следующие версии не поддерживают Java 11.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java.

  • Идентификатор CVE: CVE-2023-34454.

  • Уровень серьезности: High.

  • Способ исправления: Уязвимость не влияет на платформу.

  • Комментарий: Функция не используется. Библиотека snappy-java является зависимостью kafka-client, которая в свою очередь является зависимостью библиотек camel. Обновить библиотеку camel невозможно, потому что следующие версии не поддерживают Java 11.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java.

  • Идентификатор CVE: CVE-2023-34453.

  • Уровень серьезности: High.

  • Способ исправления: Уязвимость не влияет на платформу.

  • Комментарий: Функция не используется. Библиотека snappy-java является зависимостью kafka-client, которая в свою очередь является зависимостью библиотек camel. Обновить библиотеку camel невозможно, потому что следующие версии не поддерживают Java 11.

  1. Название уязвимости: A possible security vulnerability has been identified in Apache Kafka.

  • Идентификатор CVE: CVE-2025-27818.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Уязвимость не влияет на платформу.

  • Комментарий: Уязвимость связана c конфигурацией аутентификации. Платформа не управляет конфигурацией брокера, аутентификация не используется, уязвимость не влияет. Kafka-clients - это зависимость различных библиотек camel. Обновить версии нельзя невозможно, потому что следующие обновления библиотеки несовместимы с Java 11.

  1. Название уязвимости: A malicious user with access to the data that has been encrypted using such an encryptor may be able to derive the unencrypted values using a dictionary attack.

  • Идентификатор CVE: CVE-2020-5408.

  • Уровень серьезности: Medium.

  • Способ исправления: Уязвимость не влияет на Юниверс MDM.

  • Комментарий: Используемая версия Spring Security - 5.8.12 - не попадает под уязвимые версии указанные в CVE.

  1. Название уязвимости: BCryptPasswordEncoder.matches(CharSequence,String) will incorrectly return true for passwords larger than 72 characters as long as the first 72 characters are the same.

  • Идентификатор CVE: CVE-2025-22228.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Длина пароля в платформе ограничена 72 символами.

  1. Название уязвимости: The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive.

  • Идентификатор CVE: CVE-2024-38820.

  • Уровень серьезности: Medium.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Метод disallowedFields не используется. Статус актуален и для платформы, disallowedFields не используется.

  1. Название уязвимости: CVE-2024-38820 ensured Locale-independent, lowercase conversion for both the configured disallowedFields patterns and for request parameter names.

  • Идентификатор CVE: CVE-2025-22233.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не относится к платформе, потому чтоdisallowedFields не используется.

  1. Название уязвимости: Spring MVC controller methods with an @RequestBody byte[] method parameter are vulnerable to a DoS attack.

  • Идентификатор CVE: CVE-2024-38828.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: В методах Rest контроллеров Spring аннотация RequestBody не используется. Контроллеры с аннотацией RequestBody типа byte[] не используются.

  1. Название уязвимости: Description In Spring Framework, versions 6.0.x as of 6.0.5, versions 6.1.x and 6.2.x, an application is vulnerable to a reflected file download (RFD) attack when it sets a “Content-Disposition” header with a non-ASCII charset.

  • Идентификатор CVE: CVE-2025-41234.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость актуальна только для Spring Framework версий: 6.2.0 - 6.2.7; 6.1.0 - 6.1.20; 6.0.5 - 6.0.28. Продуктом используется версия Spring Framework 5.3.39. Заголовок Content-Disposition заполняется вручную, в качестве имен файлов используются константы или имена уже существующих файлов.