Исправление уязвимостей безопасности

Версия 6.14

Обновленные библиотеки

  1. Название уязвимости: Apache CXF: Denial of Service and sensitive data exposure in logs.

  • Идентификатор CVE: CVE-2025-48795.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека cxf-core до версии 3.5.11.

  1. Название уязвимости: Apache Commons Lang, Apache Commons Lang: ClassUtils.getClass(...) can throw a StackOverflowError on very long inputs

  • Идентификатор CVE: CVE-2025-48924.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека commons-lang3 до версии 3.18.0.

  1. Название уязвимости: Allocation of Resources Without Limits or Throttling.

  • Идентификатор CVE: CVE-2025-55163.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека vertx-grpc до версии 4.5.21, которая содержит исправленный netty-codec-http2 версии 4.1.125.Final.

  1. Название уязвимости: Improper Handling of Highly Compressed Data (Data Amplification).

  • Идентификатор CVE: CVE-2025-58057.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека vertx-grpc до 4.5.21, которая содержит исправленный netty-codec-http2 версии 4.1.125.Final.

  1. Название уязвимости: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling')

  • Идентификатор CVE: CVE-2025-58056.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека vertx-grpc до 4.5.21, которая содержит исправленный netty-codec-http2 версии 4.1.125.Final.

  1. Название уязвимости: Bypass/Injection vulnerability in Apache Camel.

  • Идентификатор CVE: CVE-2025-53864.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: CVE описывает возможность DoS-атаки при разборе глубоко вложенных JSON-объектов из-за отсутствия контроля глубины вложенности. К MDM 6.14 напрямую не применимо. CVE указывает на библиотеку nimbus-jose-jwt, которая в MDM отсутствует. Однако nimbus-jose-jwt попал под CVE поскольку gson не ограничивал глубину вложенности. Сам gson используется только транзитивно (через javers-core и consul-api) и не применяется для разбора пользовательских JSON. В любом случае gson остается потенциально уязвимым, поэтому он был обновлен до версии 2.12.1, в которой была добавлена проверка глубины вложенности.

  1. Название уязвимости: ACE vulnerability in conditional configuration file processing by QOS.CH logback-core up to and including version 1.5.18 in Java applications, allows an attacker to execute arbitrary code by compromising an existing logback configuration file or by injecting an environment variable before program execution. A successful attack requires the presence of Janino library and Spring Framework to be present on the user's class path. In addition, the attacker must have write access to a configuration file. Alternatively, the attacker could inject a malicious environment variable pointing to a malicious configuration file. In both cases, the attack requires existing privilege.

  • Идентификатор CVE: CVE-2025-11226.

  • Уровень серьезности: Medium.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека logback-core: 1.5.13 → 1.5.32.

  1. Название уязвимости: ACE vulnerability in configuration file processing by QOS.CH logback-core up to and including version 1.5.24 in Java applications, allows an attacker to instantiate classes already present on the class path by compromising an existing logback configuration file. The instantiation of a potentially malicious Java class requires that said class is present on the user's class-path. In addition, the attacker must have write access to a configuration file. However, after successful instantiation, the instance is very likely to be discarded with no further ado.

  • Идентификатор CVE: CVE-2026-1225.

  • Уровень серьезности: Low.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека logback-core: 1.5.13 → 1.5.32.

  1. Название уязвимости: The non-blocking (async) JSON parser in jackson-core bypasses the maxNumberLength constraint (default: 1000 characters) defined in StreamReadConstraints. This allows an attacker to send JSON with arbitrarily long numbers through the async parser API, leading to excessive memory allocation and potential CPU exhaustion, resulting in a Denial of Service (DoS).

  • Идентификатор CVE: GHSA-72hv-8253-57qq.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека jackson-core: 2.15.4 → 2.18.6.

  1. Название уязвимости: pgjdbc, the PostgreSQL JDBC Driver, allows attacker to inject SQL if using PreferQueryMode=SIMPLE. Note this is not the default. In the default mode there is no vulnerability. A placeholder for a numeric value must be immediately preceded by a minus. There must be a second placeholder for a string value after the first placeholder; both must be on the same line. By constructing a matching string payload, the attacker can inject SQL to alter the query,bypassing the protections that parameterized queries bring against SQL Injection attacks.

  • Идентификатор CVE: CVE-2024-1597.

  • Уровень серьезности: Critical.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека postgresql: 42.7.5 → 42.7.7.

  1. Название уязвимости: The usage of String.toLowerCase() and String.toUpperCase() has some Locale dependent exceptions that could potentially result in authorization rules not working properly.

  • Идентификатор CVE: CVE-2024-38827.

  • Уровень серьезности: Medium.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека spring-security-core: 5.8.12 → 5.8.16.

  1. Название уязвимости: Netty is an asynchronous, event-driven network application framework. In versions prior to 4.1.129.Final and 4.2.8.Final, the io.netty.handler.codec.http.HttpRequestEncoder has a CRLF injection with the request URI when constructing a request. This leads to request smuggling when HttpRequestEncoder is used without proper sanitization of the URI. Any application / framework using HttpRequestEncoder can be subject to be abused to perform request smuggling using CRLF injection. Versions 4.1.129.Final and 4.2.8.Final fix the issue.

  • Идентификатор CVE: CVE-2025-67735.

  • Уровень серьезности: Medium.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека netty-codec-http → 4.1.132.

  1. Название уязвимости: Netty, an asynchronous, event-driven network application framework, has a vulnerability in versions up to and including 4.1.118.Final. An unsafe reading of environment file could potentially cause a denial of service in Netty. When loaded on an Windows application, Netty attempts to load a file that does not exist. If an attacker creates such a large file, the Netty application crash. A similar issue was previously reported as CVE-2024-47535. This issue was fixed, but the fix was incomplete in that null-bytes were not counted against the input limit.

  • Идентификатор CVE: CVE-2025-25193.

  • Уровень серьезности: Medium.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека netty-common → 4.1.132.

  1. Название уязвимости: Netty, an asynchronous, event-driven network application framework, has a vulnerability starting in version 4.1.91.Final and prior to version 4.1.118.Final. When a special crafted packet is received via SslHandler it doesn't correctly handle validation of such a packet in all cases which can lead to a native crash. Version 4.1.118.Final contains a patch. As workaround its possible to either disable the usage of the native SSLEngine or change the code manually.

  • Идентификатор CVE: CVE-2025-24970.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека netty-handler → 4.1.132.

  1. Название уязвимости: The Vert.x Web static handler component cache can be manipulated to deny the access to static files served by the handler using specifically crafted request URI. The issue comes from an improper implementation of the C. rule of section 5.2.4 of RFC3986 and is fixed in Vert.x Core component (used by Vert.x Web).

  • Идентификатор CVE: CVE-2026-1002.

  • Уровень серьезности: Medium.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека vertx-core → 4.5.26.

  1. Название уязвимости: Any project that parses untrusted Protocol Buffers data containing an arbitrary number of nested groups / series of SGROUP tags can corrupted by exceeding the stack limit i.e. StackOverflow. Parsing nested groups as unknown fields with DiscardUnknownFieldsParser or Java Protobuf Lite parser, or against Protobuf map fields, creates unbounded recursions that can be abused by an attacker.

  • Идентификатор CVE: CVE-2024-7254.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека protobuf-java → 3.25.5.

  1. Название уязвимости: When using IPAuthenticationProvider in ZooKeeper Admin Server there is a possibility of Authentication Bypass by Spoofing -- this only impacts IP based authentication implemented in ZooKeeper Admin Server. Default configuration of client's IP address detection in IPAuthenticationProvider, which uses HTTP request headers, is weak and allows an attacker to bypass authentication via spoofing client's IP address in request headers. Default configuration honors X-Forwarded-For HTTP header to read client's IP address. X-Forwarded-For request header is mainly used by proxy servers to identify the client and can be easily spoofed by an attacker pretending that the request comes from a different IP address. Admin Server commands, such as snapshot and restore arbitrarily can be executed on successful exploitation which could potentially lead to information leakage or service availability issues. Users are recommended to upgrade to version 3.9.3, which fixes this issue.

  • Идентификатор CVE: CVE-2024-51504.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека zookeeper: 3.9.3 → 3.9.5.

  1. Название уязвимости: Improper permission check in ZooKeeper AdminServer lets authorized clients to run snapshot and restore command with insufficient permissions. This issue affects Apache ZooKeeper: from 3.9.0 before 3.9.4. Users are recommended to upgrade to version 3.9.4, which fixes the issue. The issue can be mitigated by disabling both commands (via admin.snapshot.enabled and admin.restore.enabled), disabling the whole AdminServer interface (via admin.enableServer), or ensuring that the root ACL does not provide open permissions. (Note that ZooKeeper ACLs are not recursive, so this does not impact operations on child nodes besides notifications from recursive watches.)

  • Идентификатор CVE: CVE-2025-58457.

  • Уровень серьезности: Medium.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека zookeeper: 3.9.3 → 3.9.5.

  1. Название уязвимости: Out-of-bounds memory operations in org.lz4:lz4-java 1.8.0 and earlier allow remote attackers to cause denial of service and read adjacent memory via untrusted compressed input.

  • Идентификатор CVE: CVE-2025-12183.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека lz4-java → 1.10.1.

  1. Название уязвимости: yawkat LZ4 Java provides LZ4 compression for Java. Insufficient clearing of the output buffer in Java-based decompressor implementations in lz4-java 1.10.0 and earlier allows remote attackers to read previous buffer contents via crafted compressed input. In applications where the output buffer is reused without being cleared, this may lead to disclosure of sensitive data. JNI-based implementations are not affected. This vulnerability is fixed in 1.10.1.

  • Идентификатор CVE: CVE-2025-66566.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека lz4-java → 1.10.1.

  1. Название уязвимости: snappy-java is a Java port of the snappy, a fast C++ compresser/decompresser developed by Google. The SnappyInputStream was found to be vulnerable to Denial of Service (DoS) attacks when decompressing data with a too large chunk size. Due to missing upper bound check on chunk length, an unrecoverable fatal error can occur. All versions of snappy-java including the latest released version 1.1.10.3 are vulnerable to this issue. A fix has been introduced in commit 9f8c3cf74 which will be included in the 1.1.10.4 release. Users are advised to upgrade. Users unable to upgrade should only accept compressed data from trusted sources.

  • Идентификатор CVE: CVE-2023-43642.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека snappy-java → 1.1.10.7.

  1. Название уязвимости: The package com.google.code.gson:gson before 2.8.9 are vulnerable to Deserialization of Untrusted Data via the writeReplace() method in internal classes, which may lead to DoS attacks.

  • Идентификатор CVE: CVE-2022-25647.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека gson: 2.12.1.

  1. Название уязвимости: Uncontrolled Resource Consumption vulnerability in Apache Commons IO. The org.apache.commons.io.input.XmlStreamReader class may excessively consume CPU resources when processing maliciously crafted input. This issue affects Apache Commons IO: from 2.0 before 2.14.0. Users are recommended to upgrade to version 2.14.0 or later, which fixes the issue.

  • Идентификатор CVE: CVE-2024-47554.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека commons-io: 2.18.0.

  1. Название уязвимости: A potential denial of service vulnerability is present in versions of Apache CXF before 3.5.10, 3.6.5 and 4.0.6. In some edge cases, the CachedOutputStream instances may not be closed and, if backed by temporary files, may fill up the file system (it applies to servers and clients).

  • Идентификатор CVE: CVE-2025-23184.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека cxf-core: 3.5.11.

  1. Название уязвимости: Bypass/Injection vulnerability in Apache Camel components under particular conditions. This issue affects Apache Camel: from 4.10.0 through <= 4.10.1, from 4.8.0 through <= 4.8.4, from 3.10.0 through <= 3.22.3.

  • Идентификатор CVE: CVE-2025-27636.

  • Уровень серьезности: High.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Обновлена библиотека camel-support: 3.22.4.

Исправление кода или неприменимость

  1. Название уязвимости: HttpInvokerServiceExporter readRemoteInvocation method untrusted java deserialization.

  • Идентификатор CVE: CVE-2016-1000027.

  • Уровень серьезности: Critical.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не оказывает влияния на платформу. HttpInvoker не используется.

  1. Название уязвимости: Files or Directories Accessible to External Parties, Improper Privilege Management vulnerability in Apache Kafka Clients.

  • Идентификатор CVE: CVE-2024-31141.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Библиотека kafka-clients используется транзитивно из camel. Использование Kafka статическое, без уязвимых ConfigProvider'ов. Обновить версию не получится, т.к. последующие версии camel требуют Java 17.

  1. Название уязвимости: Apache Kafka Client: Arbitrary file read and SSRF vulnerability.

  • Идентификатор CVE: CVE-2025-27817.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Библиотека kafka-clients используется транзитивно из camel. Аутентификация все ещё не используется, MDM не управляет брокерами. Обновить версию не получится, т.к. последующие версии camel требуют Java 17.

  1. Название уязвимости: CVE-2024-38820 ensured Locale-independent, lowercase conversion for both the configured disallowedFields patterns and for request parameter names.

  • Идентификатор CVE: CVE-2025-22233.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Метод disallowedFields не используется.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java. Due to unchecked multiplications, an integer overflow may occur in versions prior to 1.1.10.1, causing an unrecoverable fatal error.

  • Идентификатор CVE: CVE-2023-34454.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Функция Snappy#compress(char[] input) не используется. Библиотека является транзитивной зависимостью camel, которую невозможно обновить, т.к. последующие версии требуют Java 17.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java. Due to unchecked multiplications, an integer overflow may occur in versions prior to 1.1.10.1, causing a fatal error.

  • Идентификатор CVE: CVE-2023-34453.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Функция BitShuffle#shuffle(int[] input) не используется. Библиотека является транзитивной зависимостью camel, которую невозможно обновить, т.к. последующие версии требуют Java 17.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java. Due to use of an unchecked chunk length, an unrecoverable fatal error can occur in versions prior to 1.1.10.1.

  • Идентификатор CVE: CVE-2023-34455.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Функция SnappyInputStream#hasNextChunk() не используется. Библиотека является транзитивной зависимостью camel, которую невозможно обновить, т.к. последующие версии требуют Java 17.

  1. Название уязвимости: Dictionary attack with Spring Security queryable text encryptor.

  • Идентификатор CVE: CVE-2020-5408.

  • Уровень серьезности: Medium.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Для MDM 6.14 статус прежний. Уязвимость не затрагивает версию springframework.security 5.8.12

  1. Название уязвимости: Spring MVC controller methods with an @RequestBody byte[] method parameter are vulnerable to a DoS attack.

  • Идентификатор CVE: CVE-2024-38828.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Для MDM 6.14 статус прежний. Уязвимости нет, т.к. контроллеры с аннотацией RequestBody и типом byte[] не используются.

  1. Название уязвимости: Incorrect Implementation of Authentication Algorithm in Apache Kafka's SCRAM implementation.

  • Идентификатор CVE: CVE-2024-56128.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Библиотека kafka-clients используется транзитивно из camel. Аутентификация все ещё не используется, MDM не управляет брокерами. Обновить версию не получится, т.к. последующие версии camel требуют Java 17.

  1. Название уязвимости: A possible security vulnerability has been identified in Apache Kafka.

  • Идентификатор CVE: CVE-2025-27818.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Библиотека kafka-clients используется транзитивно из camel. Аутентификация все ещё не используется, MDM не управляет брокерами. Обновить версию не получится, т.к. последующие версии camel требуют Java 17.

  1. Название уязвимости: BCryptPasswordEncoder.matches(CharSequence,String) will incorrectly return true for passwords larger than 72 characters as long as the first 72 characters are the same.

  • Идентификатор CVE: CVE-2025-22228.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Для MDM 6.14 статус прежний. Пароль ограничен 72 символами, уязвимости нет

  1. Название уязвимости: Description In Spring Framework, versions 6.0.x as of 6.0.5, versions 6.1.x and 6.2.x, an application is vulnerable to a reflected file download (RFD) attack when it sets a “Content-Disposition” header with a non-ASCII charset, where the filename attribute is derived from user-supplied input.

  • Идентификатор CVE: CVE-2025-41234.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Для MDM 6.14 не актуально, все ещё используется Spring Framework 5.3.39, в котором этой уязвимости нет.

  1. Название уязвимости: Authorization Bypass Through User-Controlled Key.

  • Идентификатор CVE: CVE-2025-41249.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость актуальна, когда используется аннотация EnableMethodSecurity и есть security-аннотации на generic-суперклассах или generic-интерфейсах. MDM 6.14 не уязвима, так как EnableMethodSecurity используется только в модуле мониторинга (com.universe.mdm.rest.v1.monitoring.core), в котором нет generic-суперклассов и generic-интерфейсов с security-аннотациями.

  1. Название уязвимости: Authorization Bypass Through User-Controlled Key.

  • Идентификатор CVE: CVE-2025-41249.

  • Уровень серьезности: High.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость актуальна, когда используется аннотация EnableMethodSecurity и есть security-аннотации на generic-суперклассах или generic-интерфейсах. MDM 6.14 не уязвима, так как EnableMethodSecurity используется только в модуле мониторинга (com.universe.mdm.rest.v1.monitoring.core), в котором нет generic-суперклассов и generic-интерфейсов с security-аннотациями.

  1. Название уязвимости: The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive.

  • Идентификатор CVE: CVE-2024-38820.

  • Уровень серьезности: Medium.

  • Способ исправления: Признано неприменимым.

  • Комментарий: На MDM 6.14 не влияет. Метод disallowedFields не используется.

  1. Название уязвимости: Spring Framework MVC applications can be vulnerable to a “Path Traversal Vulnerability” when deployed on a non-compliant Servlet container.

  • Идентификатор CVE: CVE-2025-41242.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не актуально для MDM 6.14, поскольку spring не обслуживает статические ресурсы и BE разворачивается на Tomcat или Wildfly, которые по умолчанию запрещают подозрительные символы в URL-запросах. Соответствующие этому конфигурации не изменяются.

  1. Название уязвимости: Критическая уязвимость в React Server Components (CVE-2025-55182).

  • Идентификатор CVE: CVE-2025-55182.

  • Уровень серьезности: High (CVSS: 10.0).

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не актуальна для MDM 6.13.5 и выше. Продукт использует архитектуру Client-side rendering (CSR): весь пользовательский интерфейс рендерится на стороне клиента (в браузере), функционал Server Components не задействован. Связанные с уязвимостью пакеты (react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack) в составе продукта отсутствуют. Устранение не требуется.

Способ исправления: Признано неприменимым.

Версия 6.13

Обновленные библиотеки

  1. Название уязвимости: Bypass/Injection vulnerability in Apache Camel.

  • Идентификатор CVE: CVE-2025-29891.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Библиотеки camel-* используемые в проекте были обновлены до последней версии 3.22.4, поддерживающей Java 11. Уязвимость в них была устранена.

  1. Название уязвимости: ACE vulnerability in JaninoEventEvaluator by QOS.CH logback-core.

  • Идентификатор CVE: CVE-2024-12798.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление logback до 1.5.13.

  • Комментарий: Изменение класса SizeAndTimeBasedFNATP на SizeAndTimeBasedFileNamingAndTriggeringPolicy в конфигурации logback.xml по причине переименования в logback 1.5.8. Конфигурации со старым классом не будут работать.

  1. Название уязвимости: Improper Access Control vulnerability in Apache Commons.

  • Идентификатор CVE: CVE-2025-48734.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Библиотека commons-beanutils обновлена с версии 1.9.4 до 1.11.0.

  • Комментарий: Уязвимость формально присутствует (используется PropertyUtils, который зависит от PropertyUtilsBean) но в текущей реализации невозможна, потому что уязвимые методы используются только при конфигурировании DataSource в PoolSettingConfigurer. Свойства остаются под контролем, их имена берутся напрямую из PoolSetting, отсутствует передача внешних данных. Код не работает с enum типами, где можно было бы обратиться к declaredClass.

  1. Название уязвимости: The attacks involves the modification of DOCTYPE declaration in XML configuration files.

  • Идентификатор CVE: CVE-2024-12801.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление logback до 1.5.13.

  • Комментарий: Изменение класса SizeAndTimeBasedFNATP на SizeAndTimeBasedFileNamingAndTriggeringPolicy в конфигурации logback.xml по причине переименования в logback 1.5.8. Конфигурации со старым классом не будут работать.

  1. Название уязвимости: Improper Access Control vulnerability in Apache Commons.

  • Идентификатор CVE: CVE-2025-48734.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Библиотеки camel-* используемые в проекте были обновлены до последней версии 3.22.4, поддерживающей Java 11. Уязвимость в них была устранена.

  1. Название уязвимости: A vulnerability in Spring LDAP allows data exposure for case sensitive comparisons.

  • Идентификатор CVE: CVE-2024-38829.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Библиотека spring-ldap-core была обновлена до версии 2.4.4, где уязвимость была устранена.

  1. Название уязвимости: Improper Input Validation vulnerability in Apache POI.

  • Идентификатор CVE: CVE-2025-31672.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Обновление библиотеки.

  • Комментарий: Библиотека была обновлена до последней версии 5.4.1, где уязвимость была устранена.

Исправление кода или неприменимость

  1. Название уязвимости: Pivotal Spring Framework through 5.3.16 suffers from a potential remote code execution (RCE) issue if used for Java deserialization of untrusted data.

  • Идентификатор CVE: CVE-2016-1000027.

  • Уровень серьезности: Critical.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не оказывает влияния на платформу. HttpInvoker не используется.

  1. Название уязвимости: Incorrect Implementation of Authentication Algorithm in Apache Kafka's SCRAM implementation.

  • Идентификатор CVE: CVE-2024-56128.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Аутентификация не используется платформой.

  • Комментарий: МДМ не управляет брокерами, на платформу не влияет, kafka-clients - это зависимость различных библиотек camel. Обновить версии camel не представляется возможным, потому что обновления библиотеки несовместимы с Java 11.

  1. Название уязвимости: Files or Directories Accessible to External Parties, Improper Privilege Management vulnerability in Apache Kafka Clients.

  • Идентификатор CVE: CVE-2024-31141.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не влияет на платформу. В ней используются пользовательские десериализаторы, которые не подвержены угрозе. Обновить версию нельзя, потому что обновления библиотеки несовместимы с Java 11.

  1. Название уязвимости: A possible arbitrary file read and SSRF vulnerability has been identified in Apache Kafka Client.

  • Идентификатор CVE: CVE-2025-27817.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Не влияет на платформу. В ней используются пользовательские десериализаторы, которые не подвержены угрозе. Обновить версию нельзя, потому что обновления библиотеки несовместимы с Java 11.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java.

  • Идентификатор CVE: CVE-2023-34455.

  • Уровень серьезности: High.

  • Способ исправления: Уязвимость не влияет на платформу.

  • Комментарий: Функция не используется. Библиотека snappy-java является зависимостью kafka-client, которая в свою очередь является зависимостью библиотек camel. Обновить библиотеку camel невозможно, потому что следующие версии не поддерживают Java 11.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java.

  • Идентификатор CVE: CVE-2023-34454.

  • Уровень серьезности: High.

  • Способ исправления: Уязвимость не влияет на платформу.

  • Комментарий: Функция не используется. Библиотека snappy-java является зависимостью kafka-client, которая в свою очередь является зависимостью библиотек camel. Обновить библиотеку camel невозможно, потому что следующие версии не поддерживают Java 11.

  1. Название уязвимости: Snappy-java is a fast compressor/decompressor for Java.

  • Идентификатор CVE: CVE-2023-34453.

  • Уровень серьезности: High.

  • Способ исправления: Уязвимость не влияет на платформу.

  • Комментарий: Функция не используется. Библиотека snappy-java является зависимостью kafka-client, которая в свою очередь является зависимостью библиотек camel. Обновить библиотеку camel невозможно, потому что следующие версии не поддерживают Java 11.

  1. Название уязвимости: A possible security vulnerability has been identified in Apache Kafka.

  • Идентификатор CVE: CVE-2025-27818.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Уязвимость не влияет на платформу.

  • Комментарий: Уязвимость связана c конфигурацией аутентификации. Платформа не управляет конфигурацией брокера, аутентификация не используется, уязвимость не влияет. Kafka-clients - это зависимость различных библиотек camel. Обновить версии нельзя невозможно, потому что следующие обновления библиотеки несовместимы с Java 11.

  1. Название уязвимости: A malicious user with access to the data that has been encrypted using such an encryptor may be able to derive the unencrypted values using a dictionary attack.

  • Идентификатор CVE: CVE-2020-5408.

  • Уровень серьезности: Medium.

  • Способ исправления: Уязвимость не влияет на Юниверс MDM.

  • Комментарий: Используемая версия Spring Security - 5.8.12 - не попадает под уязвимые версии указанные в CVE.

  1. Название уязвимости: BCryptPasswordEncoder.matches(CharSequence,String) will incorrectly return true for passwords larger than 72 characters as long as the first 72 characters are the same.

  • Идентификатор CVE: CVE-2025-22228.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Длина пароля в платформе ограничена 72 символами.

  1. Название уязвимости: The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive.

  • Идентификатор CVE: CVE-2024-38820.

  • Уровень серьезности: Medium.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Метод disallowedFields не используется. Статус актуален и для платформы, disallowedFields не используется.

  1. Название уязвимости: CVE-2024-38820 ensured Locale-independent, lowercase conversion for both the configured disallowedFields patterns and for request parameter names.

  • Идентификатор CVE: CVE-2025-22233.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость не относится к платформе, потому чтоdisallowedFields не используется.

  1. Название уязвимости: Spring MVC controller methods with an @RequestBody byte[] method parameter are vulnerable to a DoS attack.

  • Идентификатор CVE: CVE-2024-38828.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: В методах Rest контроллеров Spring аннотация RequestBody не используется. Контроллеры с аннотацией RequestBody типа byte[] не используются.

  1. Название уязвимости: Description In Spring Framework, versions 6.0.x as of 6.0.5, versions 6.1.x and 6.2.x, an application is vulnerable to a reflected file download (RFD) attack when it sets a “Content-Disposition” header with a non-ASCII charset.

  • Идентификатор CVE: CVE-2025-41234.

  • Уровень серьезности: Unassigned.

  • Способ исправления: Признано неприменимым.

  • Комментарий: Уязвимость актуальна только для Spring Framework версий: 6.2.0 - 6.2.7; 6.1.0 - 6.1.20; 6.0.5 - 6.0.28. Продуктом используется версия Spring Framework 5.3.39. Заголовок Content-Disposition заполняется вручную, в качестве имен файлов используются константы или имена уже существующих файлов.