Report Summary ┌──────────────────────────────────────────────────────────────────────────────────┬────────┬─────────────────┬─────────┐ │ Target │ Type │ Vulnerabilities │ Secrets │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ gitlab.expertflow.com:9242/voice-recording-solution/cisco-connector:5.1.0 │ oracle │ 1 │ - │ │ (oracle 9.2) │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ app/cisco-connector.jar │ jar │ 15 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/lib64/graalvm/graalvm-community-java17/languages/icu4j/icu4j-charset.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/lib64/graalvm/graalvm-community-java17/languages/icu4j/icu4j.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/lib64/graalvm/graalvm-community-java17/lib/truffle/truffle-api.jar │ jar │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤ │ usr/lib64/graalvm/graalvm-community-java17/lib/truffle/truffle-dsl-processor.jar │ jar │ 0 │ - │ └──────────────────────────────────────────────────────────────────────────────────┴────────┴─────────────────┴─────────┘ Legend: - '-': Not scanned - '0': Clean (no security findings detected) gitlab.expertflow.com:9242/voice-recording-solution/cisco-connector:5.1.0 (oracle 9.2) ====================================================================================== Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0) ┌────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────┬──────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────┤ │ libnghttp2 │ CVE-2026-27135 │ HIGH │ fixed │ 1.43.0-6.el9 │ 1.43.0-6.el9_7.1 │ nghttp2: nghttp2: Denial of Service via malformed HTTP/2 │ │ │ │ │ │ │ │ frames after session termination... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27135 │ └────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────┴──────────────────────────────────────────────────────────┘ Java (jar) ========== Total: 15 (UNKNOWN: 0, LOW: 3, MEDIUM: 7, HIGH: 4, CRITICAL: 1) ┌─────────────────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────────────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ ch.qos.logback:logback-core (cisco-connector.jar) │ CVE-2025-11226 │ MEDIUM │ fixed │ 1.5.18 │ 1.5.19, 1.3.16 │ ch.qos.logback/logback-core: Conditional abitrary code │ │ │ │ │ │ │ │ execution in logback-core │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-11226 │ │ ├────────────────┼──────────┤ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-1225 │ LOW │ │ │ 1.5.25 │ ch.qos.logback/logback-core: Malicious logback.xml │ │ │ │ │ │ │ │ configuration file allows instantiation of arbitrary classes │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1225 │ ├─────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.google.guava:guava (cisco-connector.jar) │ CVE-2023-2976 │ MEDIUM │ │ 29.0-jre │ 32.0.0-android │ guava: insecure temporary directory creation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-8908 │ LOW │ │ │ │ guava: local information disclosure via temporary directory │ │ │ │ │ │ │ │ created with unsafe permissions │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8908 │ ├─────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.commons:commons-lang3 (cisco-connector.jar) │ CVE-2025-48924 │ MEDIUM │ │ 3.17.0 │ 3.18.0 │ commons-lang/commons-lang: org.apache.commons/commons-lang3: │ │ │ │ │ │ │ │ Uncontrolled Recursion vulnerability in Apache Commons Lang │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48924 │ ├─────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.tomcat.embed:tomcat-embed-core │ CVE-2026-29145 │ CRITICAL │ │ 10.1.52 │ 9.0.116, 10.1.53, 11.0.20 │ Apache Tomcat: Apache Tomcat: Authentication bypass due to │ │ (cisco-connector.jar) │ │ │ │ │ │ CLIENT_CERT soft fail misconfiguration... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29145 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-29129 │ HIGH │ │ │ │ Apache Tomcat: Apache Tomcat: Configured cipher preference │ │ │ │ │ │ │ │ order not preserved │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29129 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-29146 │ │ │ │ 9.0.116, 10.1.53, 11.0.19 │ Apache Tomcat: Apache Tomcat: Information disclosure via │ │ │ │ │ │ │ │ Padding Oracle vulnerability in EncryptInterceptor... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29146 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34483 │ │ │ │ 9.0.116, 10.1.54, 11.0.21 │ Apache Tomcat: Apache Tomcat: Information disclosure due to │ │ │ │ │ │ │ │ improper encoding in JsonAccessLogValve... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34483 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34487 │ │ │ │ 9.0.117, 10.1.54, 11.0.21 │ Apache Tomcat: Apache Tomcat: Information disclosure via │ │ │ │ │ │ │ │ sensitive data in log files... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34487 │ │ ├────────────────┼──────────┤ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-25854 │ MEDIUM │ │ │ 9.0.116, 10.1.53, 11.0.20 │ Apache Tomcat: Apache Tomcat: Open Redirect vulnerability │ │ │ │ │ │ │ │ via LoadBalancerDrainingValve │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25854 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32990 │ │ │ │ │ Apache Tomcat: Apache Tomcat: Improper Input Validation │ │ │ │ │ │ │ │ vulnerability due to incomplete fix... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32990 │ │ ├────────────────┤ │ │ ├───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34500 │ │ │ │ 9.0.117, 10.1.54, 11.0.21 │ Apache Tomcat: Apache Tomcat: Authentication bypass via │ │ │ │ │ │ │ │ client certificate misconfiguration │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34500 │ ├─────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework:spring-webmvc (cisco-connector.jar) │ CVE-2026-22737 │ │ │ 6.2.11 │ 7.0.6, 6.2.17 │ Spring Framework: Spring Framework: Information disclosure │ │ │ │ │ │ │ │ via Java scripting engine enabled template... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22737 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-22735 │ LOW │ │ │ │ org.springframework/spring-webmvc: │ │ │ │ │ │ │ │ org.springframework/spring-webflux: Spring MVC and WebFlux: │ │ │ │ │ │ │ │ Stream corruption vulnerability when using Server-Sent... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22735 │ └─────────────────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────────────────┴──────────────────────────────────────────────────────────────┘