$ /usr/bin/trivy image --ignore-unfixed --severity HIGH,CRITICAL docker-registry.ourdomain.com/cantaloupe 2023-07-06T16:57:01.805+0200 INFO Vulnerability scanning is enabled 2023-07-06T16:57:01.805+0200 INFO Secret scanning is enabled 2023-07-06T16:57:01.805+0200 INFO If your scanning is slow, please try '--scanners vuln' to disable secret scanning 2023-07-06T16:57:01.805+0200 INFO Please see also https://aquasecurity.github.io/trivy/v0.43/docs/scanner/secret/#recommendation for faster secret detection 2023-07-06T16:57:10.821+0200 INFO JAR files found 2023-07-06T16:57:10.829+0200 INFO Analyzing JAR files takes a while... 2023-07-06T16:57:13.046+0200 INFO Detected OS: ubuntu 2023-07-06T16:57:13.047+0200 INFO Detecting Ubuntu vulnerabilities... 2023-07-06T16:57:13.063+0200 INFO Number of language-specific files: 1 2023-07-06T16:57:13.063+0200 INFO Detecting jar vulnerabilities... docker-registry.ourdomain.com/cantaloupe (ubuntu 22.04) Total: 0 (HIGH: 0, CRITICAL: 0) 2023-07-06T16:57:13.304+0200 INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file. Java (jar) Total: 97 (HIGH: 78, CRITICAL: 19) ┌─────────────────────────────────────────────────────────────┬──────────────────┬──────────┬───────────────────┬──────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-36518 │ HIGH │ 2.11.0 │ 2.12.6.1, 2.13.2.1 │ denial of service via a large depth of nested objects │ │ (jackson-databind-2.11.0.jar) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36518 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ com.fasterxml.jackson.core:jackson-databind │ │ │ │ │ │ │ (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2021-46877 │ │ │ 2.12.6, 2.13.1 │ Possible DoS if using JDK serialization to serialize │ │ (jackson-databind-2.11.0.jar) │ │ │ │ │ JsonNode │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-46877 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ com.fasterxml.jackson.core:jackson-databind │ │ │ │ │ │ │ (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2022-42003 │ │ │ 2.12.7.1, 2.13.4.1 │ deep wrapper array nesting wrt UNWRAP_SINGLE_VALUE_ARRAYS │ │ (jackson-databind-2.11.0.jar) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-42003 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ com.fasterxml.jackson.core:jackson-databind │ │ │ │ │ │ │ (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2022-42004 │ │ │ 2.12.7.1, 2.13.4 │ use of deeply nested arrays │ │ (jackson-databind-2.11.0.jar) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-42004 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ com.fasterxml.jackson.core:jackson-databind │ │ │ │ │ │ │ (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.google.code.gson:gson (gson-2.3.1.jar) │ CVE-2022-25647 │ │ 2.3.1 │ 2.8.9 │ Deserialization of Untrusted Data in │ │ │ │ │ │ │ com.google.code.gson-gson │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25647 │ ├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.h2database:h2 (h2-1.4.196.jar) │ CVE-2021-23463 │ CRITICAL │ 1.4.196 │ 2.0.202 │ h2database: XXE injection vulnerability │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-23463 │ │ ├──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-42392 │ │ │ 2.0.206 │ h2: Remote Code Execution in Console │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-42392 │ │ ├──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-23221 │ │ │ 2.1.210 │ Loading of custom classes from remote servers through JNDI │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23221 │ ├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ io.netty:netty-codec (netty-codec-4.1.53.Final.jar) │ CVE-2021-37136 │ HIGH │ 4.1.53.Final │ 4.1.68 │ Bzip2Decoder doesn't allow setting size restrictions for │ │ │ │ │ │ │ decompressed data │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37136 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ io.netty:netty-codec (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ io.netty:netty-codec (netty-codec-4.1.53.Final.jar) │ CVE-2021-37137 │ │ │ │ SnappyFrameDecoder doesn't restrict chunk length and may │ │ │ │ │ │ │ buffer skippable chunks in an... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37137 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ io.netty:netty-codec (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ net.sourceforge.htmlunit:htmlunit (htmlunit-2.21.jar) │ CVE-2023-26119 │ CRITICAL │ 2.21 │ 3.0.0 │ Remote Code Execution │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26119 │ │ ├──────────────────┼──────────┤ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-5529 │ HIGH │ │ 2.37.0 │ htmlunit: malicious JavaScript code leads to arbitrary java │ │ │ │ │ │ │ code execution │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-5529 │ │ ├──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-28366 │ │ │ 2.27 │ Certain Neko-related HTML parsers allow a denial of service │ │ │ │ │ │ │ via crafte ...... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-28366 │ │ ├──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-29546 │ │ │ 2.61.0 │ OutOfMemory Exception by specifically crafted processing │ │ │ │ │ │ │ instruction in NekoHtml Parser │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29546 │ │ ├──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-2798 │ │ │ 2.70.0 │ Stack overflow crash causes Denial of Service (DoS) │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2798 │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ net.sourceforge.htmlunit:neko-htmlunit │ CVE-2022-28366 │ │ │ 2.27 │ Certain Neko-related HTML parsers allow a denial of service │ │ (neko-htmlunit-2.21.jar) │ │ │ │ │ via crafte ...... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-28366 │ │ ├──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-29546 │ │ │ 2.61.0 │ OutOfMemory Exception by specifically crafted processing │ │ │ │ │ │ │ instruction in NekoHtml Parser │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29546 │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.commons:commons-compress │ CVE-2019-12402 │ │ 1.18 │ 1.19 │ apache-commons-compress: Infinite loop in name encoding │ │ (commons-compress-1.18.jar) │ │ │ │ │ algorithm │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12402 │ │ ├──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-35515 │ │ │ 1.21 │ apache-commons-compress: infinite loop when reading a │ │ │ │ │ │ │ specially crafted 7Z archive │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-35515 │ │ ├──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-35516 │ │ │ │ apache-commons-compress: excessive memory allocation when │ │ │ │ │ │ │ reading a specially crafted 7Z archive │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-35516 │ │ ├──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-35517 │ │ │ │ apache-commons-compress: excessive memory allocation when │ │ │ │ │ │ │ reading a specially crafted TAR archive │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-35517 │ │ ├──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-36090 │ │ │ │ apache-commons-compress: excessive memory allocation when │ │ │ │ │ │ │ reading a specially crafted ZIP archive │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36090 │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ ├───────────────────┤ ├──────────────────────────────────────────────────────────────┤ │ org.apache.commons:commons-compress │ CVE-2021-35515 │ │ 1.19 │ │ apache-commons-compress: infinite loop when reading a │ │ (commons-compress-1.19.jar) │ │ │ │ │ specially crafted 7Z archive │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-35515 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.apache.commons:commons-compress (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ org.apache.commons:commons-compress │ CVE-2021-35516 │ │ │ │ apache-commons-compress: excessive memory allocation when │ │ (commons-compress-1.19.jar) │ │ │ │ │ reading a specially crafted 7Z archive │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-35516 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.apache.commons:commons-compress (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ org.apache.commons:commons-compress │ CVE-2021-35517 │ │ │ │ apache-commons-compress: excessive memory allocation when │ │ (commons-compress-1.19.jar) │ │ │ │ │ reading a specially crafted TAR archive │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-35517 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.apache.commons:commons-compress (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ org.apache.commons:commons-compress │ CVE-2021-36090 │ │ │ │ apache-commons-compress: excessive memory allocation when │ │ (commons-compress-1.19.jar) │ │ │ │ │ reading a specially crafted ZIP archive │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36090 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.apache.commons:commons-compress (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.jena:jena-core (jena-core-3.13.1.jar) │ CVE-2021-39239 │ │ 3.13.1 │ 4.2.0 │ A vulnerability in XML processing in Apache Jena, in │ │ │ │ │ │ │ versions up to... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-39239 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.apache.jena:jena-core (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.maven.shared:maven-shared-utils │ CVE-2022-29599 │ CRITICAL │ 3.1.0 │ 3.3.3 │ Command injection via Commandline class │ │ (maven-shared-utils-3.1.0.jar) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29599 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.apache.maven.shared:maven-shared-utils │ │ │ │ │ │ │ (maven-surefire-common-3.0.0-M3.jar) │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.apache.maven.shared:maven-shared-utils │ │ │ │ │ │ │ (surefire-api-3.0.0-M3.jar) │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.apache.maven.shared:maven-shared-utils │ │ │ │ │ │ │ (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ ├───────────────────┤ │ │ │ org.apache.maven.shared:maven-shared-utils │ │ │ 3.2.1 │ │ │ │ (maven-shared-utils-3.2.1.jar) │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.thrift:libthrift (libthrift-0.12.0.jar) │ CVE-2019-0205 │ HIGH │ 0.12.0 │ 0.13.0 │ thrift: Endless loop when feed with specific input data │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-0205 │ │ ├──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-0210 │ │ │ │ thrift: Out-of-bounds read related to TJSONProtocol or │ │ │ │ │ │ │ TSimpleJSONProtocol │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-0210 │ │ ├──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-13949 │ │ │ 0.14.0 │ libthrift: potential DoS when processing untrusted payloads │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13949 │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.velocity:velocity-engine-core │ CVE-2020-13936 │ │ 2.0 │ 2.3 │ velocity: arbitrary code execution when attacker is able to │ │ (velocity-engine-core-2.0.jar) │ │ │ │ │ modify templates │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13936 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.apache.velocity:velocity-engine-core │ │ │ │ │ │ │ (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.bouncycastle:bcprov-jdk15on (jruby-stdlib-9.2.17.0.jar) │ CVE-2020-28052 │ │ 1.65 │ 1.67 │ password bypass in OpenBSDBCrypt.checkPassword utility │ │ │ │ │ │ │ possible │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-28052 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.bouncycastle:bcprov-jdk15on (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.codehaus.plexus:plexus-utils (plexus-utils-2.0.4.jar) │ CVE-2017-1000487 │ CRITICAL │ 2.0.4 │ 3.0.16 │ plexus-utils: Mishandled strings in Commandline class allow │ │ │ │ │ │ │ for command injection │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-1000487 │ ├─────────────────────────────────────────────────────────────┤ │ ├───────────────────┤ │ │ │ org.codehaus.plexus:plexus-utils (plexus-utils-2.0.5.jar) │ │ │ 2.0.5 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ ├───────────────────┤ │ │ │ org.codehaus.plexus:plexus-utils (plexus-utils-3.0.jar) │ │ │ 3.0 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.eclipse.jetty.http2:http2-server │ CVE-2022-2048 │ HIGH │ 9.4.34.v20201102 │ 9.4.47, 10.0.10, 11.0.10 │ Invalid HTTP/2 requests cause DoS │ │ (http2-server-9.4.34.v20201102.jar) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2048 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.eclipse.jetty.http2:http2-server (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.eclipse.jetty:jetty-http │ CVE-2021-28165 │ │ │ 9.4.39.v20210325, 10.0.2, 11.0.2 │ jetty: Resource exhaustion when receiving an invalid large │ │ (jetty-http-9.4.34.v20201102.jar) │ │ │ │ │ TLS frame │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-28165 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.eclipse.jetty:jetty-http (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.eclipse.jetty:jetty-io (jetty-io-9.4.34.v20201102.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.eclipse.jetty:jetty-io (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.eclipse.jetty:jetty-server │ │ │ │ │ │ │ (jetty-server-9.4.34.v20201102.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.eclipse.jetty:jetty-server (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.eclipse.jetty:jetty-util │ │ │ │ │ │ │ (jetty-util-9.4.34.v20201102.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.eclipse.jetty:jetty-util (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.jdom:jdom2 (jdom2-2.0.6.jar) │ CVE-2021-33813 │ │ 2.0.6 │ 2.0.6.1 │ jdom: XXE allows attackers to cause a DoS via a crafted │ │ │ │ │ │ │ HTTP... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33813 │ ├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.yaml:snakeyaml (jruby-stdlib-9.2.17.0.jar) │ CVE-2022-1471 │ CRITICAL │ 1.26 │ 2.0 │ Constructor Deserialization Remote Code Execution │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1471 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.yaml:snakeyaml (snakeyaml-1.26.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.yaml:snakeyaml (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┼──────────┤ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.yaml:snakeyaml (jruby-stdlib-9.2.17.0.jar) │ CVE-2022-25857 │ HIGH │ │ 1.31 │ Denial of Service due to missing nested depth limitation for │ │ │ │ │ │ │ collections │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25857 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.yaml:snakeyaml (snakeyaml-1.26.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.yaml:snakeyaml (cantaloupe-5.0.5.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ xerces:xercesImpl (xercesImpl-2.11.0.jar) │ CVE-2012-0881 │ │ 2.11.0 │ 2.12.0 │ xml: xerces-j2 hash table collisions CPU usage DoS │ │ │ │ │ │ │ (oCERT-2011-003) │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2012-0881 │ │ ├──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2013-4002 │ │ │ │ Xerces-J2 OpenJDK: XML parsing Denial of Service (JAXP, │ │ │ │ │ │ │ 8017298) │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4002 │ └─────────────────────────────────────────────────────────────┴──────────────────┴──────────┴───────────────────┴──────────────────────────────────┴──────────────────────────────────────────────────────────────┘