Report Summary ┌────────────────────────────────────────────────────────────────────────┬────────┬─────────────────┬─────────┐ │ Target │ Type │ Vulnerabilities │ Secrets │ ├────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ gitlab.expertflow.com:9242/cim/media-routing-engine:5.1.0 (oracle 9.3) │ oracle │ 1 │ - │ ├────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ app/media-routing-engine.jar │ jar │ 25 │ - │ └────────────────────────────────────────────────────────────────────────┴────────┴─────────────────┴─────────┘ Legend: - '-': Not scanned - '0': Clean (no security findings detected) gitlab.expertflow.com:9242/cim/media-routing-engine:5.1.0 (oracle 9.3) ====================================================================== Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0) ┌────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────┬──────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────┤ │ libnghttp2 │ CVE-2026-27135 │ HIGH │ fixed │ 1.43.0-6.el9 │ 1.43.0-6.el9_7.1 │ nghttp2: nghttp2: Denial of Service via malformed HTTP/2 │ │ │ │ │ │ │ │ frames after session termination... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27135 │ └────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────┴──────────────────────────────────────────────────────────┘ Java (jar) ========== Total: 25 (UNKNOWN: 0, LOW: 3, MEDIUM: 15, HIGH: 6, CRITICAL: 1) ┌──────────────────────────────────────────────────────────────┬────────────────┬──────────┬──────────┬───────────────────┬───────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ ch.qos.logback:logback-core (media-routing-engine.jar) │ CVE-2026-1225 │ LOW │ fixed │ 1.5.20 │ 1.5.25 │ ch.qos.logback/logback-core: Malicious logback.xml │ │ │ │ │ │ │ │ configuration file allows instantiation of arbitrary classes │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1225 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.activemq:activemq-client │ CVE-2026-39304 │ HIGH │ │ 6.1.8 │ 5.19.4, 6.2.4 │ Apache ActiveMQ Client: Apache ActiveMQ Broker: Apache │ │ (media-routing-engine.jar) │ │ │ │ │ │ ActiveMQ: Apache ActiveMQ: Denial of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-39304 │ │ ├────────────────┼──────────┤ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-33227 │ MEDIUM │ │ │ 5.19.3, 6.2.2 │ org.apache.activemq/activemq-client: │ │ │ │ │ │ │ │ org.apache.activemq/activemq-broker: │ │ │ │ │ │ │ │ org.apache.activemq/activemq-all: │ │ │ │ │ │ │ │ org.apache.activemq/activemq-web: improper limitation of a │ │ │ │ │ │ │ │ pathname to a restricted... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-33227 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.commons:commons-lang3 (media-routing-engine.jar) │ CVE-2025-48924 │ │ │ 3.17.0 │ 3.18.0 │ commons-lang/commons-lang: org.apache.commons/commons-lang3: │ │ │ │ │ │ │ │ Uncontrolled Recursion vulnerability in Apache Commons Lang │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48924 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.tomcat.embed:tomcat-embed-core │ CVE-2026-29145 │ CRITICAL │ │ 10.1.52 │ 9.0.116, 10.1.53, 11.0.20 │ Apache Tomcat: Apache Tomcat: Authentication bypass due to │ │ (media-routing-engine.jar) │ │ │ │ │ │ CLIENT_CERT soft fail misconfiguration... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29145 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-29129 │ HIGH │ │ │ │ Apache Tomcat: Apache Tomcat: Configured cipher preference │ │ │ │ │ │ │ │ order not preserved │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29129 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-29146 │ │ │ │ 9.0.116, 10.1.53, 11.0.19 │ Apache Tomcat: Apache Tomcat: Information disclosure via │ │ │ │ │ │ │ │ Padding Oracle vulnerability in EncryptInterceptor... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29146 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34483 │ │ │ │ 9.0.116, 10.1.54, 11.0.21 │ Apache Tomcat: Apache Tomcat: Information disclosure due to │ │ │ │ │ │ │ │ improper encoding in JsonAccessLogValve... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34483 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34487 │ │ │ │ 9.0.117, 10.1.54, 11.0.21 │ Apache Tomcat: Apache Tomcat: Information disclosure via │ │ │ │ │ │ │ │ sensitive data in log files... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34487 │ │ ├────────────────┼──────────┤ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-25854 │ MEDIUM │ │ │ 9.0.116, 10.1.53, 11.0.20 │ Apache Tomcat: Apache Tomcat: Open Redirect vulnerability │ │ │ │ │ │ │ │ via LoadBalancerDrainingValve │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25854 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32990 │ │ │ │ │ Apache Tomcat: Apache Tomcat: Improper Input Validation │ │ │ │ │ │ │ │ vulnerability due to incomplete fix... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32990 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34500 │ │ │ │ 9.0.117, 10.1.54, 11.0.21 │ Apache Tomcat: Apache Tomcat: Authentication bypass via │ │ │ │ │ │ │ │ client certificate misconfiguration │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34500 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.bouncycastle:bcpkix-jdk18on (media-routing-engine.jar) │ CVE-2025-8916 │ │ │ 1.74 │ 1.79 │ org.bouncycastle: BouncyCastle denial of service │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8916 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.bouncycastle:bcprov-jdk18on (media-routing-engine.jar) │ CVE-2024-29857 │ │ │ │ 1.78 │ org.bouncycastle: Importing an EC certificate with crafted │ │ │ │ │ │ │ │ F2m parameters may lead to... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29857 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-30171 │ │ │ │ │ bc-java: BouncyCastle vulnerable to a timing variant of │ │ │ │ │ │ │ │ Bleichenbacher (Marvin Attack) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30171 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-30172 │ │ │ │ │ org.bouncycastle:bcprov-jdk18on: Infinite loop in ED25519 │ │ │ │ │ │ │ │ verification in the ScalarUtil class │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30172 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-34447 │ │ │ │ │ org.bouncycastle: Use of Incorrectly-Resolved Name or │ │ │ │ │ │ │ │ Reference │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34447 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-8885 │ │ │ │ │ bouncycastle: Bouncy Castle denial of service parsing ASN.1 │ │ │ │ │ │ │ │ Object Identifiers │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8885 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ ├──────────┼───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.keycloak:keycloak-adapter-core │ CVE-2026-1180 │ │ affected │ 25.0.3 │ │ org.keycloak.protocol.oidc: Blind Server-Side Request │ │ (media-routing-engine.jar) │ │ │ │ │ │ Forgery (SSRF) in Keycloak OIDC Dynamic Client │ │ │ │ │ │ │ │ Registration... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1180 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.keycloak:keycloak-core (media-routing-engine.jar) │ CVE-2024-4028 │ LOW │ │ 26.0.6 │ │ keycloak-core: Stored XSS in Keycloak when creating a items │ │ │ │ │ │ │ │ in Admin Console... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4028 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.keycloak:keycloak-server-spi-private │ CVE-2026-2603 │ HIGH │ │ 25.0.3 │ │ keycloak: Keycloak: Unauthorized authentication via disabled │ │ (media-routing-engine.jar) │ │ │ │ │ │ SAML Identity Provider │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-2603 │ │ ├────────────────┼──────────┼──────────┤ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-0871 │ MEDIUM │ fixed │ │ 26.5.2 │ org.keycloak/keycloak-services: Keycloak: Unauthorized │ │ │ │ │ │ │ │ modification of unmanaged user attributes by administrators │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-0871 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3190 │ │ │ │ 26.5.6 │ keycloak: Keycloak: Information Disclosure via improper role │ │ │ │ │ │ │ │ enforcement in UMA 2.0 Protection... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3190 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework:spring-webmvc (media-routing-engine.jar) │ CVE-2026-22737 │ │ │ 6.2.12 │ 7.0.6, 6.2.17 │ Spring Framework: Spring Framework: Information disclosure │ │ │ │ │ │ │ │ via Java scripting engine enabled template... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22737 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-22735 │ LOW │ │ │ │ org.springframework/spring-webmvc: │ │ │ │ │ │ │ │ org.springframework/spring-webflux: Spring MVC and WebFlux: │ │ │ │ │ │ │ │ Stream corruption vulnerability when using Server-Sent... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22735 │ └──────────────────────────────────────────────────────────────┴────────────────┴──────────┴──────────┴───────────────────┴───────────────────────────┴──────────────────────────────────────────────────────────────┘