Vulnérabilité CVE #61
Description
https://www.youtube.com/watch?v=APNrOgrM5Ho&t=391s
How to solve this ? Need helps.
I build Docker MTS image on scrach but also have CVE log4-shell Log4j.. in the image
│ │ CVE-2019-12384 │ MEDIUM │ │ 2.7.9.6, 2.8.11.4, 2.9.9.1 │ jackson-databind: failure to block the logback-core class │
│ │ │ │ │ │ from polymorphic deserialization leading to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12384 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-12814 │ │ │ │ jackson-databind: polymorphic typing issue allows attacker │
│ │ │ │ │ │ to read arbitrary local files on... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12814 │
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-rpr3-cw39-3pxh │ UNKNOWN │ │ 2.9.10.4 │ jackson-databind before 2.9.10.4 vulnerable to unsafe │
│ │ │ │ │ │ deserialization │
│ │ │ │ │ │ GHSA-rpr3-cw39-3pxh │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (guava-21.0.jar) │ CVE-2018-10237 │ MEDIUM │ 21.0 │ 24.1.1-jre, 24.1.1-android │ guava: Unbounded memory allocation in AtomicDoubleArray and │
│ │ │ │ │ │ CompoundOrdering classes allow remote attackers... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-10237 │
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-8908 │ LOW │ │ 30.0 │ guava: local information disclosure via temporary directory │
│ │ │ │ │ │ created with unsafe permissions │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8908 │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ junit:junit (junit-4.10.jar) │ CVE-2020-15250 │ MEDIUM │ 4.10 │ 4.13.1 │ junit4: TemporaryFolder is shared between all users across │
│ │ │ │ │ │ system which could result... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-15250 │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ log4j:log4j (log4j-1.2.9.jar) │ CVE-2019-17571 │ CRITICAL │ 1.2.9 │ 2.0-alpha1 │ log4j: deserialization of untrusted data in SocketServer │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17571 │
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23305 │ │ │ │ log4j: SQL injection in Log4j 1.x when application is │
│ │ │ │ │ │ configured to use... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23305 │
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23302 │ HIGH │ │ │ log4j: Remote code execution in Log4j 1.x when application │
│ │ │ │ │ │ is configured to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23302 │
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23307 │ │ │ │ log4j: Unsafe deserialization flaw in Chainsaw log viewer │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23307 │
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-9488 │ LOW │ │ 2.13.2 │ log4j: improper validation of certificate with host mismatch │
│ │ │ │ │ │ in SMTP appender │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-9488 │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ mysql:mysql-connector-java (mysql-connector-java-5.1.18.jar) │ CVE-2017-3523 │ HIGH │ 5.1.18 │ 5.1.41 │ mysql-connector-java: Improper automatic deserialization of │
│ │ │ │ │ │ binary data (CPU Apr 2017) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-3523 │
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-3258 │ │ │ 8.0.13 │ mysql-connector-java: Connector/J unspecified vulnerability │
│ │ │ │ │ │ (CPU October 2018) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-3258 │
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2015-2575 │ MEDIUM │ │ 5.1.35 │ mysql-connector-java: unspecified vulnerability related to │
│ │ │ │ │ │ Connector/J (CPU April 2015) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-2575 │
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-3586 │ │ │ 5.1.42 │ mysql-connector-java: Connector/J unspecified vulnerability │
│ │ │ │ │ │ (CPU Apr 2017) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-3586 │
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-2692 │ │ │ 8.0.16 │ mysql-connector-java: privilege escalation in MySQL │
│ │ │ │ │ │ connector │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-2692 │
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-2875 │ │ │ 5.1.49, 8.0.15 │ mysql-connector-java: allows unauthenticated attacker with │
│ │ │ │ │ │ network access via multiple protocols to compromise... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-2875 │
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-2934 │ │ │ 5.1.49, 8.0.20 │ mysql-connector-java: allows unauthenticated attacker with │
│ │ │ │ │ │ network access via multiple protocols to compromise... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-2934 │
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-21363 │ │ │ 8.0.28 │ mysql-connector-java: Difficult to exploit vulnerability │
│ │ │ │ │ │ allows high privileged attacker with network access... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21363 │
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-3589 │ LOW │ │ 5.1.42 │ mysql-connector-java: Connector/J unspecified vulnerability │
│ │ │ │ │ │ (CPU Apr 2017) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-3589 │
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-2933 │ │ │ 5.1.49 │ mysql-connector-java: allows high privileged attacker with │
│ │ │ │ │ │ network access via multiple protocols to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-2933 │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ net.minidev:json-smart (json-smart-2.2.jar) │ CVE-2021-27568 │ CRITICAL │ 2.2 │ 1.3.2, 2.3.1, 2.4.1 │ json-smart: uncaught exception may lead to crash or │
│ │ │ │ │ │ information disclosure │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-27568 │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-email (commons-email-1.3.2.jar) │ CVE-2017-9801 │ HIGH │ 1.3.2 │ 1.5 │ Improper Input Validation in Apache Commons Email │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-9801 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-1294 │ │ │ │ Improper Input Validation Apache Commons Email │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1294 │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.logging.log4j:log4j-api (log4j-api-2.12.1.jar) │ CVE-2021-44832 │ MEDIUM │ 2.12.1 │ 2.17.1 │ log4j-core: remote code execution via JDBC Appender │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44832 │
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-45105 │ │ │ 2.12.3, 2.17.0 │ log4j-core: DoS in log4j 2.x with Thread Context Map (MDC) │
│ │ │ │ │ │ input data... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-45105 │
├──────────────────────────────────────────────────────────────┼─────────────────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.groovy:groovy-all (groovy-all-2.4.7.jar) │ CVE-2020-17521 │ │ 2.4.7 │ 2.4.21, 2.5.14, 3.0.7 │ groovy: OS temporary directory leads to information │
│ │ │ │ │ │ disclosure │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-17521 │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.dom4j:dom4j (dom4j-2.1.0.jar) │ CVE-2020-10683 │ CRITICAL │ 2.1.0 │ 2.0.3, 2.1.3 │ dom4j: XML External Entity vulnerability in default SAX │
│ │ │ │ │ │ parser │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10683 │
│ ├─────────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-1000632 │ HIGH │ │ 2.0.3, 2.1.1 │ dom4j: XML Injection in Class: Element. Methods: addElement, │
│ │ │ │ │ │ addAttribute which can impact... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1000632 │
├──────────────────────────────────────────────────────────────┼─────────────────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (snakeyaml-1.23.jar) │ CVE-2017-18640 │ │ 1.23 │ 1.26 │ snakeyaml: Billion laughs attack via alias feature │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-18640 │
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-25857 │ │ │ 1.31 │ snakeyaml: Denial of Service due missing to nested depth │
│ │ │ │ │ │ limitation for... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25857 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-38749 │ MEDIUM │ │ │ Using snakeYAML to parse untrusted YAML files may be │
│ │ │ │ │ │ vulnerable to Den... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-38749 │
│ ├─────────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-38752 │ │ │ 1.32 │ Using snakeYAML to parse untrusted YAML files may be │
│ │ │ │ │ │ vulnerable to Den... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-38752 │
└──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴───────────────────┴─────────────────────────────┴──────────────────────────────────────────────────────────────┘