org.primefaces:primefaces 存在跨站脚本漏洞
XSS
org.primefaces:primefaces 是 JavaServer Faces 的终极组件套件。此软件包的受影响版本通过 p:badge 的属性值容易受到跨站点脚本 (XSS) 的攻击
org.primefaces:primefaces 存在跨站脚本漏洞
XSS
org.primefaces:primefaces 是 Java EE 生态系统中的 UI 库。 [org.primefaces:primefaces] 的受影响版本容易受到跨站点脚本 (XSS) 的攻击。
org.primefaces:primefaces 存在跨站脚本漏洞
XSS
org.primefaces:primefaces 是 Java EE 生态系统中的一个 UI 库。 [org.primefaces:primefaces] 的受影响版本容易受到跨站点脚本 (XSS) 的攻击。
org.apache.poi:poi 存在拒绝服务漏洞
拒绝服务
org.apache.poi:poi 是一个用于读写 Microsoft Office 二进制和 OOXML 文件格式的 java 库。此软件包的受影响版本容易受到拒绝服务 (DoS) 的攻击。
Apache Ant 信息泄露漏洞
将资源暴露给错误范围
Apache Ant是美国阿帕奇(Apache)基金会的一套用于Java软件开发的自动化工具。该工具主要用于软件的编译、测试和部署等。
Apache Ant 1.1版本至1.9.14版本和1.10.0版本至1.10.7版本中存在信息泄露漏洞。攻击者可利用该漏洞泄漏敏感信息。
Apache XML Graphics Batik 存在服务器端请求伪造 (SSRF)漏洞
SSRF
Apache Batik 容易受到服务器端请求伪造的攻击,这是由“xlink:href”属性的输入验证不当引起的。通过使用特制参数,攻击者可以利用此漏洞导致底层服务器发出任意 GET 请求。
org.primefaces:primefaces 存在跨站脚本漏洞
XSS
org.primefaces:primefaces 是 JavaServer Faces 的终极组件套件。此软件包的受影响版本通过 p:chip 的属性标签易受跨站点脚本 (XSS) 攻击。
org.primefaces:primefaces 存在信息暴露漏洞
信息暴露
org.primefaces:primefaces 是 JavaServer Faces 的终极组件套件。此软件包的受影响版本容易受到信息泄露的影响,因为 {{h:inputText maxlength}} 仅在客户端进行验证。但是,客户端验证可能很容易被绕过。
Apache Xalan 存在整数截断问题,组件已不再维护
数值截断错误
Xalan是Apache的开源软件库,Xalan的主要功能是将 XSLT 标准样式表转换 XML 文档。
Xalan的组件XSLT库在处理恶意 XSLT 时会产生整数截断的问题,这可能会破坏由内部 XSLTC 编译器生成的 Java 类文件,最终导致产生执行任意 Java 字节码的危害。
Apache Xalan Java 项目处于休眠状态并处于退役过程中,预计未来 Apache 将不会发布 Apache Xalan Java 新版本。
(OpenJDK等其他java运行时会包含重新打包的 Xalan 版本,目前 OpenJDK 已经修复了此问题。)
Apache Log4j 信任管理问题漏洞
证书验证不恰当
Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。
Apache Log4j中存在信任管理问题漏洞,该漏洞源于SmtpAppender没有验证主机名称与SMTPS连接的SSL/TLS证书是否匹配。攻击者可通过实施中间人攻击利用该漏洞拦截SMTPS连接,获取日志消息。
dom4j是一款支持DOM、SAX、JAXP和Java平台的用于处理XML文件的开源框架。
dom4j 2.1.1之前版本中的Class:Element存在安全漏洞,该漏洞源于程序没有验证输入。攻击者可通过指定XML文档中的属性或元素利用该漏洞执行篡改操作。
Apache POI是美国阿帕奇(Apache)基金会的一个开源函数库,它提供API给Java程序可对Microsoft Office格式档案进行读和写。
Apache POI 4.1.0及之前版本中存在代码问题漏洞。攻击者可借助特制的文档利用该漏洞读取本地文件系统中或网络资源中的文件。
PrimeTek PrimeFaces 跨站脚本漏洞
XSS
PrimeTek PrimeFaces 7.0.11版本中的tooltip/tooltip.js文件存在跨站脚本漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
Apache Xmlbeans 输入验证错误漏洞
XXE
直到 2.6.0 版本的 XMLBeans 使用的 XML 解析器没有设置保护用户免受恶意 XML 输入所需的属性。漏洞包括 XML 实体扩展攻击的可能性。影响直到并包括 v2.6.0 的 XMLBeans。
org.primefaces:primefaces 存在跨站脚本漏洞
XSS
org.primefaces:primefaces 是 JavaServer Faces 的终极组件套件。此软件包的受影响版本通过 p:stack 中的 p:menuItem 的属性值容易受到跨站点脚本 (XSS) 的攻击。
Apache Batik(又名Batik SVG Toolkit或Batik Java SVG Toolkit)是美国阿帕奇(Apache)软件基金会的一套基于Java的主要用于处理SVG格式图像的应用程序。
Apache Batik 1.9之前的版本中存在安全漏洞。远程攻击者可通过发送恶意的SVG文件利用该漏洞获取信息或造成拒绝服务。
Apache XmlGraphics Commons 代码问题漏洞
Apache XmlGraphics Commons是 阿帕奇(Apach)开源的一个系统库。提供几个可重用的库。
Apache XmlGraphics Commons 2.4 存在代码问题漏洞,该漏洞源于XMPParser不正确的输入验证。
org.freemarker:freemarker 存在代码注入漏洞
代码注入
org.freemarker:freemarker 是一个“模板引擎”;基于模板生成文本输出(从 HTML 到自动生成的源代码的任何内容)的通用工具。此软件包的受影响版本容易受到服务器端模板注入 (SSTI) 的攻击。通过允许用户输入 java.security.ProtectionDomain.getClassLoader,模板将可以访问 java 类加载器。这可以进一步用于文件系统访问和代码执行。低权限用户足以利用此漏洞。
org.primefaces:primefaces 存在跨站脚本漏洞
XSS
org.primefaces:primefaces 是 JavaServer Faces 的终极组件套件。此软件包的受影响版本通过 p:tag 的属性值容易受到跨站点脚本 (XSS) 的攻击。
Apache Commons IO 路径遍历漏洞
路径遍历
在 2.7 之前的 Apache Commons IO 中,当使用不正确的输入字符串(如“//../foo”或“\\..\foo”)调用方法 FileNameUtils.normalize 时,结果将是相同的值,因此可能如果调用代码将使用结果来构造路径值,则提供对父目录中文件的访问,但不能进一步访问(因此“有限”路径遍历)。
评论