Report Summary ┌──────────────────────────────────────────────────────────────────────────────────┬────────┬─────────────────┬─────────┐ │ Target │ Type │ Vulnerabilities │ Secrets │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ gitlab.expertflow.com:9242/cim/media-routing-engine:5.0 (oracle 9.2) │ oracle │ 1 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ app/media-routing-engine.jar │ jar │ 18 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/lib64/graalvm/graalvm-community-java17/languages/icu4j/icu4j-charset.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/lib64/graalvm/graalvm-community-java17/languages/icu4j/icu4j.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/lib64/graalvm/graalvm-community-java17/lib/truffle/truffle-api.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/lib64/graalvm/graalvm-community-java17/lib/truffle/truffle-dsl-processor.jar │ jar │ 0 │ - │ └──────────────────────────────────────────────────────────────────────────────────┴────────┴─────────────────┴─────────┘ Legend: - '-': Not scanned - '0': Clean (no security findings detected) gitlab.expertflow.com:9242/cim/media-routing-engine:5.0 (oracle 9.2) ==================================================================== Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0) ┌─────────┬───────────────┬──────────┬────────┬───────────────────┬─────────────────┬─────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────┼───────────────┼──────────┼────────┼───────────────────┼─────────────────┼─────────────────────────────────────────────┤ │ libssh │ CVE-2025-5318 │ MEDIUM │ fixed │ 0.10.4-13.el9 │ 0.10.4-15.el9_6 │ libssh: out-of-bounds read in sftp_handle() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-5318 │ └─────────┴───────────────┴──────────┴────────┴───────────────────┴─────────────────┴─────────────────────────────────────────────┘ Java (jar) ========== Total: 18 (UNKNOWN: 0, LOW: 3, MEDIUM: 11, HIGH: 4, CRITICAL: 0) ┌──────────────────────────────────────────────────────────────┬────────────────┬──────────┬──────────┬───────────────────┬───────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ ch.qos.logback:logback-core (media-routing-engine.jar) │ CVE-2025-11226 │ MEDIUM │ fixed │ 1.5.18 │ 1.5.19, 1.3.16 │ ch.qos.logback/logback-core: Conditional abitrary code │ │ │ │ │ │ │ │ execution in logback-core │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-11226 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ io.grpc:grpc-netty-shaded (media-routing-engine.jar) │ CVE-2025-55163 │ HIGH │ │ 1.68.1 │ 1.75.0 │ netty: netty-codec-http2: Netty MadeYouReset HTTP/2 DDoS │ │ │ │ │ │ │ │ Vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-55163 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ io.netty:netty-codec (media-routing-engine.jar) │ CVE-2025-58057 │ MEDIUM │ │ 4.1.122.Final │ 4.1.125.Final │ netty-codec: netty-codec-compression: Netty's BrotliDecoder │ │ │ │ │ │ │ │ is vulnerable to DoS via zip bomb style... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58057 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.commons:commons-lang3 (media-routing-engine.jar) │ CVE-2025-48924 │ │ │ 3.14.0 │ 3.18.0 │ commons-lang/commons-lang: org.apache.commons/commons-lang3: │ │ │ │ │ │ │ │ Uncontrolled Recursion vulnerability in Apache Commons Lang │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48924 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.tomcat.embed:tomcat-embed-core │ CVE-2025-48989 │ HIGH │ │ 10.1.42 │ 11.0.10, 10.1.44, 9.0.108 │ tomcat: http/2 "MadeYouReset" DoS attack through HTTP/2 │ │ (media-routing-engine.jar) │ │ │ │ │ │ control frames │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48989 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-55752 │ │ │ │ 11.0.11, 10.1.45, 9.0.109 │ tomcat: org.apache.tomcat/tomcat-catalina: Apache Tomcat: │ │ │ │ │ │ │ │ Directory traversal via rewrite with possible RCE │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-55752 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-55754 │ LOW │ │ │ │ org.apache.tomcat/tomcat-juli: tomcat: Apache Tomcat: │ │ │ │ │ │ │ │ console manipulation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-55754 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61795 │ │ │ │ 11.0.12, 10.1.47, 9.0.110 │ tomcat: org.apache.tomcat/tomcat-catalina: Apache Tomcat: │ │ │ │ │ │ │ │ Denial of service │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61795 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.bouncycastle:bcpkix-jdk18on (media-routing-engine.jar) │ CVE-2025-8916 │ MEDIUM │ │ 1.74 │ 1.79 │ org.bouncycastle: BouncyCastle denial of service │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8916 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.bouncycastle:bcprov-jdk18on (media-routing-engine.jar) │ CVE-2024-29857 │ │ │ │ 1.78 │ org.bouncycastle: Importing an EC certificate with crafted │ │ │ │ │ │ │ │ F2m parameters may lead to... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29857 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-30171 │ │ │ │ │ bc-java: BouncyCastle vulnerable to a timing variant of │ │ │ │ │ │ │ │ Bleichenbacher (Marvin Attack) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30171 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-30172 │ │ │ │ │ org.bouncycastle:bcprov-jdk18on: Infinite loop in ED25519 │ │ │ │ │ │ │ │ verification in the ScalarUtil class │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30172 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-34447 │ │ │ │ │ org.bouncycastle: Use of Incorrectly-Resolved Name or │ │ │ │ │ │ │ │ Reference │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34447 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-8885 │ │ │ │ │ bouncycastle: Bouncy Castle denial of service parsing ASN.1 │ │ │ │ │ │ │ │ Object Identifiers │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8885 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.keycloak:keycloak-core (media-routing-engine.jar) │ CVE-2024-4028 │ LOW │ affected │ 26.0.6 │ │ keycloak-core: Stored XSS in Keycloak when creating a items │ │ │ │ │ │ │ │ in Admin Console... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4028 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework:spring-core (media-routing-engine.jar) │ CVE-2025-41249 │ HIGH │ fixed │ 6.1.21 │ 6.2.11 │ org.springframework/spring-core: Spring Framework Annotation │ │ │ │ │ │ │ │ Detection Vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-41249 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework:spring-webmvc (media-routing-engine.jar) │ CVE-2025-41242 │ MEDIUM │ │ │ 6.2.10 │ org.springframework/spring-webmvc: Spring Framework MVC path │ │ │ │ │ │ │ │ traversal vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-41242 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework:spring-websocket │ CVE-2025-41254 │ │ │ │ 6.2.12 │ org.springframework/spring-core: Spring Framework STOMP CSRF │ │ (media-routing-engine.jar) │ │ │ │ │ │ Vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-41254 │ └──────────────────────────────────────────────────────────────┴────────────────┴──────────┴──────────┴───────────────────┴───────────────────────────┴──────────────────────────────────────────────────────────────┘