Apache Batik 1.13服務(wù)器端請(qǐng)求偽造是脆弱的,由NodePickerPanel不當(dāng)造成的輸入驗(yàn)證。通過(guò)使用一個(gè)特制的論點(diǎn),攻擊者可以利用此漏洞導(dǎo)致底層服務(wù)器進(jìn)行任意的GET請(qǐng)求。

Resteasy中存在跨站腳本漏洞。該漏洞源于WEB應(yīng)用缺少對(duì)客戶端數(shù)據(jù)的正確驗(yàn)證。攻擊者可利用該漏洞執(zhí)行客戶端代碼。

libexif是一個(gè)使用C語(yǔ)言編寫的函數(shù)庫(kù)。該產(chǎn)品主要用于從圖形文件中讀寫EXIF元信息。 libexif存在輸入驗(yàn)證錯(cuò)誤漏洞，攻擊者可以通過(guò)編譯器對(duì)libexif的優(yōu)化來(lái)觸發(fā)緩沖區(qū)溢出，從而觸發(fā)拒絕服務(wù)，并可能運(yùn)行代碼。

Media Framework是其中的一個(gè)多媒體開發(fā)框架。Android 10版本中的Media Framework存在安全漏洞。攻擊者可利用該漏洞造成拒絕服務(wù)。

Media Framework是其中的一個(gè)多媒體開發(fā)框架。Android 10版本中的Media Framework存在安全漏洞。攻擊者可利用該漏洞造成拒絕服務(wù)。

Hibernate 5.3.18之前版本、5.4.18之前版本和5.5.0.Beta1之前版本中的JPA Criteria API的實(shí)現(xiàn)存在SQL注入漏洞。攻擊者可利用該漏洞訪問(wèn)未授權(quán)的信息或進(jìn)行進(jìn)一步的攻擊。

在Hibernate驗(yàn)證程序中發(fā)現(xiàn)漏洞。SafeHtml驗(yàn)證程序批注無(wú)法正確清理由HTML注釋和指令中潛在惡意代碼組成的有效負(fù)載。此漏洞可能導(dǎo)致XSS攻擊。

在org.codehaus.jackson:jackson-mapper-asl:1.9.x庫(kù)中發(fā)現(xiàn)了一個(gè)缺陷。類似CVE-2016-3720的XML外部實(shí)體漏洞也會(huì)影響codehaus jackson-mapper-asl庫(kù)，但是在不同的類中。

這是在9.2.0前Infinispan Hotrod客戶機(jī)中發(fā)現(xiàn)的。CR1將不安全的從緩存中讀取序列化的數(shù)據(jù)信息。一個(gè)經(jīng)過(guò)驗(yàn)證的攻擊者可以注入惡意對(duì)象數(shù)據(jù)在客戶端緩存和達(dá)到反序列化,并可能進(jìn)一步攻擊。

infinispan 9.1.0之前hotrod java客戶機(jī)。最后在某些事件中bytearray消息內(nèi)容自動(dòng)反序列化。惡意用戶可以利用這個(gè)漏洞注射特制序列化對(duì)象實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行或進(jìn)行其他攻擊。

vorbis-tools是一套Ogg（一種音頻壓縮格式）vorbis工具。 vorbis-tools 1.4.0版本的oggenc/oggenc.c文件存在安全漏洞。遠(yuǎn)程攻擊者可借助特制的raw文件利用該漏洞造成拒絕服務(wù)（越邊界讀?。?。

在1.0.1之前的libwebp中發(fā)現(xiàn)了一個(gè)缺陷。由于線程過(guò)早終止，發(fā)現(xiàn)了空閑后使用。來(lái)自該漏洞的最大威脅是數(shù)據(jù)機(jī)密性和完整性以及系統(tǒng)可用性。

在1.0.1之前的libwebp中發(fā)現(xiàn)了一個(gè)缺陷。由于無(wú)效的緩沖區(qū)大小檢查，函數(shù)WebPDecodeRGBInto可能會(huì)出現(xiàn)基于堆的緩沖區(qū)溢出。來(lái)自該漏洞的最大威脅是數(shù)據(jù)機(jī)密性和完整性以及系統(tǒng)可用性。

NSS 3.58之前的版本存在安全漏洞，該漏洞源于NSS處理CCS (ChangeCipherSpec)消息的方式發(fā)現(xiàn)了一個(gè)缺陷。這個(gè)缺陷允許遠(yuǎn)程攻擊者可利用該漏洞發(fā)送多個(gè)CCS消息，導(dǎo)致用NSS庫(kù)編譯的服務(wù)器被拒絕服務(wù)。

Java SE的漏洞,甲骨文GraalVM企業(yè)版產(chǎn)品的甲骨文Java SE(組件:熱點(diǎn))。支持版本影響Java SE: 8 u291 11.0.11, 16.0.1;企業(yè)版:甲骨文GraalVM 20.3.2 21.1.0。難以利用漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多種協(xié)議與網(wǎng)絡(luò)訪問(wèn)妥協(xié)Java SE, Oracle GraalVM企業(yè)版。成功的攻擊需要人工交互從一個(gè)人除了攻擊者。成功攻擊的漏洞會(huì)導(dǎo)致收購(gòu)Java SE、Oracle GraalVM企業(yè)版。注意:這個(gè)漏洞適用于Java部署,通常在客戶端運(yùn)行沙箱Java Web Start應(yīng)用程序或沙箱Java applet,加載和運(yùn)行不受信任的代碼(例如,代碼來(lái)自互聯(lián)網(wǎng))和依賴于Java沙箱安全。這個(gè)漏洞并不適用于Java部署,通常在服務(wù)器,只加載并運(yùn)行受信任的代碼(例如,代碼由管理員安裝)。