ch.qos.logback:logback-core 是一个 logback-core 模块。此软件包的受影响版本容易受到主机名验证不足的影响。 X.509 未正确验证。通过通过看似有效的证书欺骗 TLS/SSL 服务器，具有拦截网络流量（例如，MitM、DNS 缓存中毒）能力的攻击者可以泄露和选择性地操纵传输的数据。

Fastjson 是Java语言实现的快速JSON解析和生成器，在1.2.25-1.2.43版本攻击者可通过精心构造的JSON请求，绕过此前修复机制，远程执行任意代码。 漏洞原因： AutoTypeSupport显式设置为True时，Fastjson会通过autoType来实例化json对象，并通过基于黑名单的checkAutotype方法对@type字段进行安全性验证，攻击者可以绕过黑名单逻辑，并调用连接远程rmi主机，通过其中的恶意类执行代码。

Fastjson 是Java语言实现的快速JSON解析和生成器，在<=1.2.68的版本中攻击者可通过精心构造的JSON请求，远程执行恶意代码。 漏洞原因： Fastjson采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化Gadgets类时，发现在AutoTypeSupport关闭的情况下仍然可能可以绕过黑白名单防御机制，造成远程命令执行漏洞。 本次绕过通过继承自 Throwable 异常类的白名单类gadget实现，漏洞点为ThrowableDeserializer#deserialze。

在 Spring Framework 中，5.2.x 5.2.15 之前的版本和 5.3.7 之前的 5.3.7 版本中，WebFlux 应用程序容易受到权限提升的影响：通过（重新）创建临时存储目录，本地经过身份验证的恶意用户可以读取或修改已上传到 WebFlux 应用程序的文件，或用多部分请求数据覆盖任意文件。

当初始化 JSONArray 对象并且输入是 [ 时此软件包的受影响版本易受拒绝服务 (DoS) 攻击。

Fastjson 是Java语言实现的快速JSON解析和生成器。 fastjson 使用黑白名单用于防御反序列化漏洞，1.2.80及以下版本在特定条件下可绕过默认autoType关闭限制，攻击远程服务器。 攻击者可利用该漏洞远程执行恶意代码。

SnakeYAML是一款基于Java的YAML解析器。 SnakeYAML 1.18版本中的Alias功能存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。

Vmware Spring Framework和VMware Tanzu都是美国威睿（Vmware）公司的产品。Spring Framework是一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。VMware Tanzu是一套应用程序开发和解决方案。该软件将虚拟机和Kubernetes结合起来，对虚拟机和容器以及物理机统一进行管理，它能实现跨物理机、虚拟机以及内部数据中心、跨多个云来管理应用，从而为工作负载提供一个统一的支撑。 Spring Framework存在安全漏洞，该漏洞源于jsessionid路径参数绕过，以下产品及版本受到影响：5.2.0 - 5.2.8、5.1.0至5.1.17、5.0.0至5.0.18、4.3.0至4.3.28以及更早的不受支持的版本。

Vmware Spring Framework是美国威睿（Vmware）公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework 存在注入漏洞，该漏洞源于通过日志注入绕过 Spring Framework 的访问限制，以更改数据。

Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。Oracle MySQL Connectors (组件: Connector/J) 8.0.27及之前版本存在输入验证错误漏洞。攻击者可利用该漏洞通过多种协议进行网络访问，从而破坏Oracle MySQL Connectors，导致Oracle MySQL Connectors被接管。

在 2.7 之前的 Apache Commons IO 中，当使用不正确的输入字符串（如“//../foo”或“\\..\foo”）调用方法 FileNameUtils.normalize 时，结果将是相同的值，因此可能如果调用代码将使用结果来构造路径值，则提供对父目录中文件的访问，但不能进一步访问（因此“有限”路径遍历）。