Report Summary ┌──────────────────────────────────────────────────────────────────────────────┬────────┬─────────────────┬─────────┐ │ Target │ Type │ Vulnerabilities │ Secrets │ ├──────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ gitlab.expertflow.com:9242/campaign-manager/campaign-scheduler:5.1.0 (alpine │ alpine │ 24 │ - │ │ 3.20.9) │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ app/campaign-scheduler.jar │ jar │ 14 │ - │ └──────────────────────────────────────────────────────────────────────────────┴────────┴─────────────────┴─────────┘ Legend: - '-': Not scanned - '0': Clean (no security findings detected) gitlab.expertflow.com:9242/campaign-manager/campaign-scheduler:5.1.0 (alpine 3.20.9) ==================================================================================== Total: 24 (UNKNOWN: 0, LOW: 3, MEDIUM: 15, HIGH: 6, CRITICAL: 0) ┌────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libcrypto3 │ CVE-2026-28390 │ HIGH │ fixed │ 3.3.6-r0 │ 3.3.7-r0 │ openssl: OpenSSL: Denial of Service due to NULL pointer │ │ │ │ │ │ │ │ dereference in CMS... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28390 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28388 │ MEDIUM │ │ │ │ openssl: OpenSSL: Denial of Service due to NULL pointer │ │ │ │ │ │ │ │ dereference in delta... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28388 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28389 │ │ │ │ │ openssl: OpenSSL: Denial of Service vulnerability in CMS │ │ │ │ │ │ │ │ processing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28389 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-31789 │ │ │ │ │ openssl: OpenSSL: Heap buffer overflow on 32-bit systems │ │ │ │ │ │ │ │ from large X.509 certificate... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-31789 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-31790 │ │ │ │ │ openssl: openssl: Information Disclosure from Uninitialized │ │ │ │ │ │ │ │ Memory via Invalid RSA Public Key... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-31790 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28387 │ LOW │ │ │ │ openssl: OpenSSL: Arbitrary code execution due to │ │ │ │ │ │ │ │ use-after-free in DANE TLSA authentication... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28387 │ ├────────────┼────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ libssl3 │ CVE-2026-28390 │ HIGH │ │ │ │ openssl: OpenSSL: Denial of Service due to NULL pointer │ │ │ │ │ │ │ │ dereference in CMS... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28390 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28388 │ MEDIUM │ │ │ │ openssl: OpenSSL: Denial of Service due to NULL pointer │ │ │ │ │ │ │ │ dereference in delta... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28388 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28389 │ │ │ │ │ openssl: OpenSSL: Denial of Service vulnerability in CMS │ │ │ │ │ │ │ │ processing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28389 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-31789 │ │ │ │ │ openssl: OpenSSL: Heap buffer overflow on 32-bit systems │ │ │ │ │ │ │ │ from large X.509 certificate... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-31789 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-31790 │ │ │ │ │ openssl: openssl: Information Disclosure from Uninitialized │ │ │ │ │ │ │ │ Memory via Invalid RSA Public Key... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-31790 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28387 │ LOW │ │ │ │ openssl: OpenSSL: Arbitrary code execution due to │ │ │ │ │ │ │ │ use-after-free in DANE TLSA authentication... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28387 │ ├────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ musl │ CVE-2026-40200 │ HIGH │ │ 1.2.5-r1 │ 1.2.5-r3 │ musl: musl libc: Arbitrary code execution and denial of │ │ │ │ │ │ │ │ service via stack-based... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-40200 │ │ ├────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-6042 │ MEDIUM │ │ │ 1.2.5-r2 │ musl libc: GB18030 4-byte Decoder: musl libc: Denial of │ │ │ │ │ │ │ │ Service via inefficient... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-6042 │ ├────────────┼────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ musl-utils │ CVE-2026-40200 │ HIGH │ │ │ 1.2.5-r3 │ musl: musl libc: Arbitrary code execution and denial of │ │ │ │ │ │ │ │ service via stack-based... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-40200 │ │ ├────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-6042 │ MEDIUM │ │ │ 1.2.5-r2 │ musl libc: GB18030 4-byte Decoder: musl libc: Denial of │ │ │ │ │ │ │ │ Service via inefficient... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-6042 │ ├────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ openssl │ CVE-2026-28390 │ HIGH │ │ 3.3.6-r0 │ 3.3.7-r0 │ openssl: OpenSSL: Denial of Service due to NULL pointer │ │ │ │ │ │ │ │ dereference in CMS... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28390 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28388 │ MEDIUM │ │ │ │ openssl: OpenSSL: Denial of Service due to NULL pointer │ │ │ │ │ │ │ │ dereference in delta... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28388 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28389 │ │ │ │ │ openssl: OpenSSL: Denial of Service vulnerability in CMS │ │ │ │ │ │ │ │ processing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28389 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-31789 │ │ │ │ │ openssl: OpenSSL: Heap buffer overflow on 32-bit systems │ │ │ │ │ │ │ │ from large X.509 certificate... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-31789 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-31790 │ │ │ │ │ openssl: openssl: Information Disclosure from Uninitialized │ │ │ │ │ │ │ │ Memory via Invalid RSA Public Key... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-31790 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28387 │ LOW │ │ │ │ openssl: OpenSSL: Arbitrary code execution due to │ │ │ │ │ │ │ │ use-after-free in DANE TLSA authentication... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28387 │ ├────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ zlib │ CVE-2026-22184 │ HIGH │ │ 1.3.1-r1 │ 1.3.2-r0 │ zlib: zlib: Arbitrary code execution via buffer overflow in │ │ │ │ │ │ │ │ untgz utility │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22184 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27171 │ MEDIUM │ │ │ │ zlib: zlib: Denial of Service via infinite loop in CRC32 │ │ │ │ │ │ │ │ combine functions... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27171 │ └────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴─────────────────────────────────────────────────────────────┘ Java (jar) ========== Total: 14 (UNKNOWN: 0, LOW: 2, MEDIUM: 6, HIGH: 5, CRITICAL: 1) ┌──────────────────────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ ch.qos.logback:logback-core (campaign-scheduler.jar) │ CVE-2026-1225 │ LOW │ fixed │ 1.5.20 │ 1.5.25 │ ch.qos.logback/logback-core: Malicious logback.xml │ │ │ │ │ │ │ │ configuration file allows instantiation of arbitrary classes │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1225 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.activemq:activemq-client (campaign-scheduler.jar) │ CVE-2026-39304 │ HIGH │ │ 6.1.8 │ 5.19.4, 6.2.4 │ Apache ActiveMQ Client: Apache ActiveMQ Broker: Apache │ │ │ │ │ │ │ │ ActiveMQ: Apache ActiveMQ: Denial of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-39304 │ │ ├────────────────┼──────────┤ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-33227 │ MEDIUM │ │ │ 5.19.3, 6.2.2 │ org.apache.activemq/activemq-client: │ │ │ │ │ │ │ │ org.apache.activemq/activemq-broker: │ │ │ │ │ │ │ │ org.apache.activemq/activemq-all: │ │ │ │ │ │ │ │ org.apache.activemq/activemq-web: improper limitation of a │ │ │ │ │ │ │ │ pathname to a restricted... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-33227 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.commons:commons-lang3 (campaign-scheduler.jar) │ CVE-2025-48924 │ │ │ 3.9 │ 3.18.0 │ commons-lang/commons-lang: org.apache.commons/commons-lang3: │ │ │ │ │ │ │ │ Uncontrolled Recursion vulnerability in Apache Commons Lang │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48924 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.tomcat.embed:tomcat-embed-core │ CVE-2026-29145 │ CRITICAL │ │ 10.1.52 │ 9.0.116, 10.1.53, 11.0.20 │ Apache Tomcat: Apache Tomcat: Authentication bypass due to │ │ (campaign-scheduler.jar) │ │ │ │ │ │ CLIENT_CERT soft fail misconfiguration... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29145 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-29129 │ HIGH │ │ │ │ Apache Tomcat: Apache Tomcat: Configured cipher preference │ │ │ │ │ │ │ │ order not preserved │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29129 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-29146 │ │ │ │ 9.0.116, 10.1.53, 11.0.19 │ Apache Tomcat: Apache Tomcat: Information disclosure via │ │ │ │ │ │ │ │ Padding Oracle vulnerability in EncryptInterceptor... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29146 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34483 │ │ │ │ 9.0.116, 10.1.54, 11.0.21 │ Apache Tomcat: Apache Tomcat: Information disclosure due to │ │ │ │ │ │ │ │ improper encoding in JsonAccessLogValve... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34483 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34487 │ │ │ │ 9.0.117, 10.1.54, 11.0.21 │ Apache Tomcat: Apache Tomcat: Information disclosure via │ │ │ │ │ │ │ │ sensitive data in log files... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34487 │ │ ├────────────────┼──────────┤ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-25854 │ MEDIUM │ │ │ 9.0.116, 10.1.53, 11.0.20 │ Apache Tomcat: Apache Tomcat: Open Redirect vulnerability │ │ │ │ │ │ │ │ via LoadBalancerDrainingValve │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25854 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32990 │ │ │ │ │ Apache Tomcat: Apache Tomcat: Improper Input Validation │ │ │ │ │ │ │ │ vulnerability due to incomplete fix... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32990 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34500 │ │ │ │ 9.0.117, 10.1.54, 11.0.21 │ Apache Tomcat: Apache Tomcat: Authentication bypass via │ │ │ │ │ │ │ │ client certificate misconfiguration │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34500 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework:spring-webmvc (campaign-scheduler.jar) │ CVE-2026-22737 │ │ │ 6.2.12 │ 7.0.6, 6.2.17 │ Spring Framework: Spring Framework: Information disclosure │ │ │ │ │ │ │ │ via Java scripting engine enabled template... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22737 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-22735 │ LOW │ │ │ │ org.springframework/spring-webmvc: │ │ │ │ │ │ │ │ org.springframework/spring-webflux: Spring MVC and WebFlux: │ │ │ │ │ │ │ │ Stream corruption vulnerability when using Server-Sent... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22735 │ └──────────────────────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────────────────┴──────────────────────────────────────────────────────────────┘