Report Summary ┌──────────────────────────────────────────────────────────────────────────────────┬────────┬─────────────────┬─────────┐ │ Target │ Type │ Vulnerabilities │ Secrets │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ gitlab.expertflow.com:9242/cim/business-calendar/build:5.1.0_f-CIM-release-cand- │ alpine │ 0 │ - │ │ idate-677e22134302509d8be698e4f1f64eae250d0421 (alpine 3.18.4) │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ app/business-calendar.jar │ jar │ 7 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/boot/plexus-classworlds-2.7.0.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/aopalliance-1.0.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/commons-cli-1.5.0.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/commons-codec-1.11.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/commons-lang3-3.12.0.jar │ jar │ 1 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/failureaccess-1.0.1.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/guava-32.0.1-jre.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/guice-5.1.0.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/httpclient-4.5.14.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/httpcore-4.4.16.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/jansi-2.4.0.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/javax.annotation-api-1.3.2.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/javax.inject-1.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/jcl-over-slf4j-1.7.36.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-artifact-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-builder-support-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-compat-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-core-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-embedder-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-model-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-model-builder-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-plugin-api-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-repository-metadata-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-resolver-api-1.9.14.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-resolver-connector-basic-1.9.14.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-resolver-impl-1.9.14.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-resolver-named-locks-1.9.14.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-resolver-provider-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-resolver-spi-1.9.14.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-resolver-transport-file-1.9.14.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-resolver-transport-http-1.9.14.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-resolver-transport-wagon-1.9.14.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-resolver-util-1.9.14.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-settings-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-settings-builder-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-shared-utils-3.3.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/maven-slf4j-provider-3.9.4.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/org.eclipse.sisu.inject-0.3.5.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/org.eclipse.sisu.plexus-0.3.5.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/plexus-cipher-2.0.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/plexus-component-annotations-2.1.0.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/plexus-interpolation-1.26.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/plexus-sec-dispatcher-2.0.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/plexus-utils-3.5.1.jar │ jar │ 1 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/slf4j-api-1.7.36.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/wagon-file-3.5.3.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/wagon-http-3.5.3.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/wagon-http-shared-3.5.3.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/share/maven/lib/wagon-provider-api-3.5.3.jar │ jar │ 0 │ - │ └──────────────────────────────────────────────────────────────────────────────────┴────────┴─────────────────┴─────────┘ Legend: - '-': Not scanned - '0': Clean (no security findings detected) For OSS Maintainers: VEX Notice -------------------------------- If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement. VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users. Learn more and start using VEX: https://trivy.dev/v0.64/docs/supply-chain/vex/repo#publishing-vex-documents To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable. Java (jar) ========== Total: 9 (UNKNOWN: 0, LOW: 3, MEDIUM: 4, HIGH: 2, CRITICAL: 0) ┌─────────────────────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────────────────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ ch.qos.logback:logback-core (business-calendar.jar) │ CVE-2026-1225 │ LOW │ fixed │ 1.5.20 │ 1.5.25 │ ch.qos.logback/logback-core: Malicious logback.xml │ │ │ │ │ │ │ │ configuration file allows instantiation of arbitrary classes │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1225 │ ├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.commons:commons-lang3 (commons-lang3-3.12.0.jar) │ CVE-2025-48924 │ MEDIUM │ │ 3.12.0 │ 3.18.0 │ commons-lang/commons-lang: org.apache.commons/commons-lang3: │ │ │ │ │ │ │ │ Uncontrolled Recursion vulnerability in Apache Commons Lang │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48924 │ ├─────────────────────────────────────────────────────────────┤ │ │ ├───────────────────┤ │ │ │ org.apache.commons:commons-lang3 (business-calendar.jar) │ │ │ │ 3.17.0 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.tomcat.embed:tomcat-embed-core │ CVE-2026-24734 │ HIGH │ │ 10.1.48 │ 11.0.18, 10.1.52, 9.0.115 │ tomcat: Apache Tomcat: Certificate revocation bypass due to │ │ (business-calendar.jar) │ │ │ │ │ │ improper OCSP response validation... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-24734 │ │ ├────────────────┼──────────┤ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-66614 │ MEDIUM │ │ │ 11.0.15, 10.1.50, 9.0.113 │ tomcat: Client certificate verification bypass due to │ │ │ │ │ │ │ │ virtual host mapping │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-66614 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-24733 │ LOW │ │ │ │ tomcat: security constraint bypass with HTTP/0.9 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-24733 │ ├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.codehaus.plexus:plexus-utils (plexus-utils-3.5.1.jar) │ CVE-2025-67030 │ HIGH │ │ 3.5.1 │ 4.0.3 │ org.codehaus.plexus:plexus-utils: Plexus-utils: Directory │ │ │ │ │ │ │ │ Traversal in extractFile method │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-67030 │ ├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework:spring-webmvc (business-calendar.jar) │ CVE-2026-22737 │ MEDIUM │ │ 6.2.12 │ 7.0.6, 6.2.17 │ Spring Framework: Spring Framework: Information disclosure │ │ │ │ │ │ │ │ via Java scripting engine enabled template... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22737 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-22735 │ LOW │ │ │ │ org.springframework/spring-webmvc: │ │ │ │ │ │ │ │ org.springframework/spring-webflux: Spring MVC and WebFlux: │ │ │ │ │ │ │ │ Stream corruption vulnerability when using Server-Sent... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22735 │ └─────────────────────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────────────────┴──────────────────────────────────────────────────────────────┘