cve

Вопрос или проблема Я изучаю уязвимость CVE 2018-1002105, связанную с повышением привилегий в Kubernetes. Как удаленный неаутентифицированный пользователь, я хотел бы использовать сервер метрик, развернутый в моем кластере, для выполнения произвольных команд на любых подах.

Вопрос или проблема Я обнаружил в коде использование библиотеки Bouncy Castle, уязвимой к CVE CVE-2023-33201. Эта уязвимость, похоже, связана с классом X509LDAPCertStoreSpi.java, и конкретно с методом search(). В проверяемом мною коде нет прямого использования этого класса или метода.

Вопрос или проблема Я обнаружил в коде использование библиотеки bouncy castle, которая уязвима по CVE CVE-2023-33201. Эта уязвимость, похоже, исходит от класса X509LDAPCertStoreSpi.java, и в частности от метода search(). В коде, который я тестирую, нет

Вопрос или проблема Я работал с API NIST – NVD v2 и заметил, что временные метрики “remediationLevelType” и “exploitCodeMaturityType” отсутствуют во ВСЕХ CVE, которые я искал с помощью API NVD. Хотя эти метрики существуют

Вопрос или проблема Возможно ли фильтровать уязвимости CVE по затронутой платформе/ОС? Некоторые источники предоставляют такую возможность, например, exploit-db, но основной источник информации о уязвимостях NVD, Национальная база данных уязвимостей