Исправление уязвимостей безопасности
Версия 6.15.1
Обновленные библиотеки
Название уязвимости: ACE vulnerability in conditional configuration file processing by QOS.CH logback-core up to and including version 1.5.18 in Java applications, allows an attacker to execute arbitrary code by compromising an existing logback configuration file or by injecting an environment variable before program execution.
Идентификатор CVE: CVE-2025-11226.
Уровень серьезности: Unknown.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека ch.qos.logback:logback-core до версии 1.5.32.
Название уязвимости: CVE-2026-1225 is an Arbitrary Class Execution (ACE) vulnerability in the QOS.CH logback-core library affecting versions up to and including 1.5.24.
Идентификатор CVE: CVE-2026-1225.
Уровень серьезности: Unknown.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека ch.qos.logback:logback-core до версии 1.5.32.
Название уязвимости: CVE-2024-38827: Spring Security Authorization Bypass for Case Sensitive Comparisons.
Идентификатор CVE: CVE-2024-38827.
Уровень серьезности: Medium.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека spring-security-bom до версии 5.8.16.
Название уязвимости: jackson-core: Number Length Constraint Bypass in Async Parser Leads to Potential DoS Condition.
Идентификатор CVE: GHSA-72hv-8253-57qq.
Уровень серьезности: High.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека jackson-bom до версии 2.18.6.
Название уязвимости: The Vert.x Web static handler component cache can be manipulated to deny the access to static files served by the handler using specifically crafted request URI.
Идентификатор CVE: CVE-2026-1002.
Уровень серьезности: Medium.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека vertx-grpc до версии 4.5.26.
Название уязвимости: Any project that parses untrusted Protocol Buffers data containing an arbitrary number of nested groups / series of SGROUP tags can corrupted by exceeding the stack limit i.e. StackOverflow. Parsing nested groups as unknown fields with DiscardUnknownFieldsParser or Java Protobuf Lite parser, or against Protobuf map fields, creates unbounded recursions that can be abused by an attacker.
Идентификатор CVE: CVE-2024-7254.
Уровень серьезности: High.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека vertx-grpc до версии 4.5.26.
Название уязвимости: Out-of-bounds memory operations in org.lz4:lz4-java 1.8.0 and earlier allow remote attackers to cause denial of service and read adjacent memory via untrusted compressed input.
Идентификатор CVE: CVE-2025-12183.
Уровень серьезности: High.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека kafka-clients до версии 4.2.0.
Название уязвимости: yawkat LZ4 Java provides LZ4 compression for Java. Insufficient clearing of the output buffer in Java-based decompressor implementations in lz4-java 1.10.0 and earlier allows remote attackers to read previous buffer contents via crafted compressed input. In applications where the output buffer is reused without being cleared, this may lead to disclosure of sensitive data.
Идентификатор CVE: CVE-2025-66566.
Уровень серьезности: High.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека kafka-clients до версии 4.2.0.
Версия 6.14
Обновленные библиотеки
Название уязвимости: Apache CXF: Denial of Service and sensitive data exposure in logs.
Идентификатор CVE: CVE-2025-48795.
Уровень серьезности: Unassigned.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека cxf-core до версии 3.5.11.
Название уязвимости: Apache Commons Lang, Apache Commons Lang: ClassUtils.getClass(...) can throw a StackOverflowError on very long inputs
Идентификатор CVE: CVE-2025-48924.
Уровень серьезности: Unassigned.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека commons-lang3 до версии 3.18.0.
Название уязвимости: Allocation of Resources Without Limits or Throttling.
Идентификатор CVE: CVE-2025-55163.
Уровень серьезности: Unassigned.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека vertx-grpc до версии 4.5.21, которая содержит исправленный netty-codec-http2 версии 4.1.125.Final.
Название уязвимости: Improper Handling of Highly Compressed Data (Data Amplification).
Идентификатор CVE: CVE-2025-58057.
Уровень серьезности: Unassigned.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека vertx-grpc до 4.5.21, которая содержит исправленный netty-codec-http2 версии 4.1.125.Final.
Название уязвимости: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling')
Идентификатор CVE: CVE-2025-58056.
Уровень серьезности: Unassigned.
Способ исправления: Обновление библиотеки.
Комментарий: Обновлена библиотека vertx-grpc до 4.5.21, которая содержит исправленный netty-codec-http2 версии 4.1.125.Final.
Название уязвимости: Bypass/Injection vulnerability in Apache Camel.
Идентификатор CVE: CVE-2025-53864.
Уровень серьезности: Unassigned.
Способ исправления: Обновление библиотеки.
Комментарий: CVE описывает возможность DoS-атаки при разборе глубоко вложенных JSON-объектов из-за отсутствия контроля глубины вложенности. К MDM 6.14 напрямую не применимо. CVE указывает на библиотеку nimbus-jose-jwt, которая в MDM отсутствует. Однако nimbus-jose-jwt попал под CVE поскольку gson не ограничивал глубину вложенности. Сам gson используется только транзитивно (через javers-core и consul-api) и не применяется для разбора пользовательских JSON. В любом случае gson остается потенциально уязвимым, поэтому он был обновлен до версии 2.12.1, в которой была добавлена проверка глубины вложенности.
Исправление кода или неприменимость
Название уязвимости: HttpInvokerServiceExporter readRemoteInvocation method untrusted java deserialization.
Идентификатор CVE: CVE-2016-1000027.
Уровень серьезности: Critical.
Способ исправления: Признано неприменимым.
Комментарий: Не оказывает влияния на платформу. HttpInvoker не используется.
Название уязвимости: Files or Directories Accessible to External Parties, Improper Privilege Management vulnerability in Apache Kafka Clients.
Идентификатор CVE: CVE-2024-31141.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: На MDM 6.14 не влияет. Библиотека kafka-clients используется транзитивно из camel. Использование Kafka статическое, без уязвимых ConfigProvider'ов. Обновить версию не получится, т.к. последующие версии camel требуют Java 17.
Название уязвимости: Apache Kafka Client: Arbitrary file read and SSRF vulnerability.
Идентификатор CVE: CVE-2025-27817.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: На MDM 6.14 не влияет. Библиотека kafka-clients используется транзитивно из camel. Аутентификация все еще не используется, MDM не управляет брокерами. Обновить версию не получится, т.к. последующие версии camel требуют Java 17.
Название уязвимости: CVE-2024-38820 ensured Locale-independent, lowercase conversion for both the configured disallowedFields patterns and for request parameter names.
Идентификатор CVE: CVE-2025-22233.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: На MDM 6.14 не влияет. Метод disallowedFields не используется.
Название уязвимости: Snappy-java is a fast compressor/decompressor for Java. Due to unchecked multiplications, an integer overflow may occur in versions prior to 1.1.10.1, causing an unrecoverable fatal error.
Идентификатор CVE: CVE-2023-34454.
Уровень серьезности: High.
Способ исправления: Признано неприменимым.
Комментарий: На MDM 6.14 не влияет. Функция Snappy#compress(char[] input) не используется. Библиотека является транзитивной зависимостью camel, которую невозможно обновить, т.к. последующие версии требуют Java 17.
Название уязвимости: Snappy-java is a fast compressor/decompressor for Java. Due to unchecked multiplications, an integer overflow may occur in versions prior to 1.1.10.1, causing a fatal error.
Идентификатор CVE: CVE-2023-34453.
Уровень серьезности: High.
Способ исправления: Признано неприменимым.
Комментарий: На MDM 6.14 не влияет. Функция BitShuffle#shuffle(int[] input) не используется. Библиотека является транзитивной зависимостью camel, которую невозможно обновить, т.к. последующие версии требуют Java 17.
Название уязвимости: Snappy-java is a fast compressor/decompressor for Java. Due to use of an unchecked chunk length, an unrecoverable fatal error can occur in versions prior to 1.1.10.1.
Идентификатор CVE: CVE-2023-34455.
Уровень серьезности: High.
Способ исправления: Признано неприменимым.
Комментарий: На MDM 6.14 не влияет. Функция SnappyInputStream#hasNextChunk() не используется. Библиотека является транзитивной зависимостью camel, которую невозможно обновить, т.к. последующие версии требуют Java 17.
Название уязвимости: Dictionary attack with Spring Security queryable text encryptor.
Идентификатор CVE: CVE-2020-5408.
Уровень серьезности: Medium.
Способ исправления: Признано неприменимым.
Комментарий: Для MDM 6.14 статус прежний. Уязвимость не затрагивает версию springframework.security 5.8.12
Название уязвимости: Spring MVC controller methods with an @RequestBody byte[] method parameter are vulnerable to a DoS attack.
Идентификатор CVE: CVE-2024-38828.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: Для MDM 6.14 статус прежний. Уязвимости нет, т.к. контроллеры с аннотацией RequestBody и типом byte[] не используются.
Название уязвимости: Incorrect Implementation of Authentication Algorithm in Apache Kafka's SCRAM implementation.
Идентификатор CVE: CVE-2024-56128.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: На MDM 6.14 не влияет. Библиотека kafka-clients используется транзитивно из camel. Аутентификация все еще не используется, MDM не управляет брокерами. Обновить версию не получится, т.к. последующие версии camel требуют Java 17.
Название уязвимости: A possible security vulnerability has been identified in Apache Kafka.
Идентификатор CVE: CVE-2025-27818.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: На MDM 6.14 не влияет. Библиотека kafka-clients используется транзитивно из camel. Аутентификация все еще не используется, MDM не управляет брокерами. Обновить версию не получится, т.к. последующие версии camel требуют Java 17.
Название уязвимости: BCryptPasswordEncoder.matches(CharSequence,String) will incorrectly return true for passwords larger than 72 characters as long as the first 72 characters are the same.
Идентификатор CVE: CVE-2025-22228.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: Для MDM 6.14 статус прежний. Пароль ограничен 72 символами, уязвимости нет
Название уязвимости: Description In Spring Framework, versions 6.0.x as of 6.0.5, versions 6.1.x and 6.2.x, an application is vulnerable to a reflected file download (RFD) attack when it sets a “Content-Disposition” header with a non-ASCII charset, where the filename attribute is derived from user-supplied input.
Идентификатор CVE: CVE-2025-41234.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: Для MDM 6.14 не актуально, все еще используется Spring Framework 5.3.39, в котором этой уязвимости нет.
Название уязвимости: Authorization Bypass Through User-Controlled Key.
Идентификатор CVE: CVE-2025-41249.
Уровень серьезности: High.
Способ исправления: Признано неприменимым.
Комментарий: Уязвимость актуальна, когда используется аннотация EnableMethodSecurity и есть security-аннотации на generic-суперклассах или generic-интерфейсах. MDM 6.14 не уязвима, так как EnableMethodSecurity используется только в модуле мониторинга (com.universe.mdm.rest.v1.monitoring.core), в котором нет generic-суперклассов и generic-интерфейсов с security-аннотациями.
Название уязвимости: Authorization Bypass Through User-Controlled Key.
Идентификатор CVE: CVE-2025-41249.
Уровень серьезности: High.
Способ исправления: Признано неприменимым.
Комментарий: Уязвимость актуальна, когда используется аннотация EnableMethodSecurity и есть security-аннотации на generic-суперклассах или generic-интерфейсах. MDM 6.14 не уязвима, так как EnableMethodSecurity используется только в модуле мониторинга (com.universe.mdm.rest.v1.monitoring.core), в котором нет generic-суперклассов и generic-интерфейсов с security-аннотациями.
Название уязвимости: The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive.
Идентификатор CVE: CVE-2024-38820.
Уровень серьезности: Medium.
Способ исправления: Признано неприменимым.
Комментарий: На MDM 6.14 не влияет. Метод disallowedFields не используется.
Название уязвимости: Spring Framework MVC applications can be vulnerable to a “Path Traversal Vulnerability” when deployed on a non-compliant Servlet container.
Идентификатор CVE: CVE-2025-41242.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: Не актуально для MDM 6.14, поскольку spring не обслуживает статические ресурсы и BE разворачивается на Tomcat или Wildfly, которые по умолчанию запрещают подозрительные символы в URL-запросах. Соответствующие этому конфигурации не изменяются.
Название уязвимости: Критическая уязвимость в React Server Components (CVE-2025-55182).
Идентификатор CVE: CVE-2025-55182.
Уровень серьезности: High (CVSS: 10.0).
Способ исправления: Признано неприменимым.
Комментарий: Уязвимость не актуальна для MDM 6.13.5 и выше. Продукт использует архитектуру Client-side rendering (CSR): весь пользовательский интерфейс рендерится на стороне клиента (в браузере), функционал Server Components не задействован. Связанные с уязвимостью пакеты (react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack) в составе продукта отсутствуют. Устранение не требуется.
Версия 6.13
Обновленные библиотеки
Название уязвимости: Bypass/Injection vulnerability in Apache Camel.
Идентификатор CVE: CVE-2025-29891.
Уровень серьезности: Unassigned.
Способ исправления: Обновление библиотеки.
Комментарий: Библиотеки camel-* используемые в проекте были обновлены до последней версии 3.22.4, поддерживающей Java 11. Уязвимость в них была устранена.
Название уязвимости: ACE vulnerability in JaninoEventEvaluator by QOS.CH logback-core.
Идентификатор CVE: CVE-2024-12798.
Уровень серьезности: Unassigned.
Способ исправления: Обновление logback до 1.5.13.
Комментарий: Изменение класса SizeAndTimeBasedFNATP на SizeAndTimeBasedFileNamingAndTriggeringPolicy в конфигурации logback.xml по причине переименования в logback 1.5.8. Конфигурации со старым классом не будут работать.
Название уязвимости: Improper Access Control vulnerability in Apache Commons.
Идентификатор CVE: CVE-2025-48734.
Уровень серьезности: Unassigned.
Способ исправления: Библиотека commons-beanutils обновлена с версии 1.9.4 до 1.11.0.
Комментарий: Уязвимость формально присутствует (используется PropertyUtils, который зависит от PropertyUtilsBean) но в текущей реализации невозможна, потому что уязвимые методы используются только при конфигурировании DataSource в PoolSettingConfigurer. Свойства остаются под контролем, их имена берутся напрямую из PoolSetting, отсутствует передача внешних данных. Код не работает с enum типами, где можно было бы обратиться к declaredClass.
Название уязвимости: The attacks involves the modification of DOCTYPE declaration in XML configuration files.
Идентификатор CVE: CVE-2024-12801.
Уровень серьезности: Unassigned.
Способ исправления: Обновление logback до 1.5.13.
Комментарий: Изменение класса SizeAndTimeBasedFNATP на SizeAndTimeBasedFileNamingAndTriggeringPolicy в конфигурации logback.xml по причине переименования в logback 1.5.8. Конфигурации со старым классом не будут работать.
Название уязвимости: Improper Access Control vulnerability in Apache Commons.
Идентификатор CVE: CVE-2025-48734.
Уровень серьезности: Unassigned.
Способ исправления: Обновление библиотеки.
Комментарий: Библиотеки camel-* используемые в проекте были обновлены до последней версии 3.22.4, поддерживающей Java 11. Уязвимость в них была устранена.
Название уязвимости: A vulnerability in Spring LDAP allows data exposure for case sensitive comparisons.
Идентификатор CVE: CVE-2024-38829.
Уровень серьезности: Unassigned.
Способ исправления: Обновление библиотеки.
Комментарий: Библиотека spring-ldap-core была обновлена до версии 2.4.4, где уязвимость была устранена.
Название уязвимости: Improper Input Validation vulnerability in Apache POI.
Идентификатор CVE: CVE-2025-31672.
Уровень серьезности: Unassigned.
Способ исправления: Обновление библиотеки.
Комментарий: Библиотека была обновлена до последней версии 5.4.1, где уязвимость была устранена.
Исправление кода или неприменимость
Название уязвимости: Pivotal Spring Framework through 5.3.16 suffers from a potential remote code execution (RCE) issue if used for Java deserialization of untrusted data.
Идентификатор CVE: CVE-2016-1000027.
Уровень серьезности: Critical.
Способ исправления: Признано неприменимым.
Комментарий: Не оказывает влияния на платформу. HttpInvoker не используется.
Название уязвимости: Incorrect Implementation of Authentication Algorithm in Apache Kafka's SCRAM implementation.
Идентификатор CVE: CVE-2024-56128.
Уровень серьезности: Unassigned.
Способ исправления: Аутентификация не используется платформой.
Комментарий: МДМ не управляет брокерами, на платформу не влияет, kafka-clients - это зависимость различных библиотек camel. Обновить версии camel не представляется возможным, потому что обновления библиотеки несовместимы с Java 11.
Название уязвимости: Files or Directories Accessible to External Parties, Improper Privilege Management vulnerability in Apache Kafka Clients.
Идентификатор CVE: CVE-2024-31141.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: Не влияет на платформу. В ней используются пользовательские десериализаторы, которые не подвержены угрозе. Обновить версию нельзя, потому что обновления библиотеки несовместимы с Java 11.
Название уязвимости: A possible arbitrary file read and SSRF vulnerability has been identified in Apache Kafka Client.
Идентификатор CVE: CVE-2025-27817.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: Не влияет на платформу. В ней используются пользовательские десериализаторы, которые не подвержены угрозе. Обновить версию нельзя, потому что обновления библиотеки несовместимы с Java 11.
Название уязвимости: Snappy-java is a fast compressor/decompressor for Java.
Идентификатор CVE: CVE-2023-34455.
Уровень серьезности: High.
Способ исправления: Уязвимость не влияет на платформу.
Комментарий: Функция не используется. Библиотека snappy-java является зависимостью kafka-client, которая в свою очередь является зависимостью библиотек camel. Обновить библиотеку camel невозможно, потому что следующие версии не поддерживают Java 11.
Название уязвимости: Snappy-java is a fast compressor/decompressor for Java.
Идентификатор CVE: CVE-2023-34454.
Уровень серьезности: High.
Способ исправления: Уязвимость не влияет на платформу.
Комментарий: Функция не используется. Библиотека snappy-java является зависимостью kafka-client, которая в свою очередь является зависимостью библиотек camel. Обновить библиотеку camel невозможно, потому что следующие версии не поддерживают Java 11.
Название уязвимости: Snappy-java is a fast compressor/decompressor for Java.
Идентификатор CVE: CVE-2023-34453.
Уровень серьезности: High.
Способ исправления: Уязвимость не влияет на платформу.
Комментарий: Функция не используется. Библиотека snappy-java является зависимостью kafka-client, которая в свою очередь является зависимостью библиотек camel. Обновить библиотеку camel невозможно, потому что следующие версии не поддерживают Java 11.
Название уязвимости: A possible security vulnerability has been identified in Apache Kafka.
Идентификатор CVE: CVE-2025-27818.
Уровень серьезности: Unassigned.
Способ исправления: Уязвимость не влияет на платформу.
Комментарий: Уязвимость связана c конфигурацией аутентификации. Платформа не управляет конфигурацией брокера, аутентификация не используется, уязвимость не влияет. Kafka-clients - это зависимость различных библиотек camel. Обновить версии нельзя невозможно, потому что следующие обновления библиотеки несовместимы с Java 11.
Название уязвимости: A malicious user with access to the data that has been encrypted using such an encryptor may be able to derive the unencrypted values using a dictionary attack.
Идентификатор CVE: CVE-2020-5408.
Уровень серьезности: Medium.
Способ исправления: Уязвимость не влияет на Юниверс MDM.
Комментарий: Используемая версия Spring Security - 5.8.12 - не попадает под уязвимые версии указанные в CVE.
Название уязвимости: BCryptPasswordEncoder.matches(CharSequence,String) will incorrectly return true for passwords larger than 72 characters as long as the first 72 characters are the same.
Идентификатор CVE: CVE-2025-22228.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: Длина пароля в платформе ограничена 72 символами.
Название уязвимости: The fix for CVE-2022-22968 made disallowedFields patterns in DataBinder case insensitive.
Идентификатор CVE: CVE-2024-38820.
Уровень серьезности: Medium.
Способ исправления: Признано неприменимым.
Комментарий: Метод disallowedFields не используется. Статус актуален и для платформы, disallowedFields не используется.
Название уязвимости: CVE-2024-38820 ensured Locale-independent, lowercase conversion for both the configured disallowedFields patterns and for request parameter names.
Идентификатор CVE: CVE-2025-22233.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: Уязвимость не относится к платформе, потому чтоdisallowedFields не используется.
Название уязвимости: Spring MVC controller methods with an @RequestBody byte[] method parameter are vulnerable to a DoS attack.
Идентификатор CVE: CVE-2024-38828.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: В методах Rest контроллеров Spring аннотация RequestBody не используется. Контроллеры с аннотацией RequestBody типа byte[] не используются.
Название уязвимости: Description In Spring Framework, versions 6.0.x as of 6.0.5, versions 6.1.x and 6.2.x, an application is vulnerable to a reflected file download (RFD) attack when it sets a “Content-Disposition” header with a non-ASCII charset.
Идентификатор CVE: CVE-2025-41234.
Уровень серьезности: Unassigned.
Способ исправления: Признано неприменимым.
Комментарий: Уязвимость актуальна только для Spring Framework версий: 6.2.0 - 6.2.7; 6.1.0 - 6.1.20; 6.0.5 - 6.0.28. Продуктом используется версия Spring Framework 5.3.39. Заголовок Content-Disposition заполняется вручную, в качестве имен файлов используются константы или имена уже существующих файлов.