Vulnerabilities reported against the CDC agent jar ( agent-c4-2.3.2-all.jar ) #204
Description
A security scan on the CDC jar for Cassandra 4 , version 2.3.2 reported the following CVEs and it would be good to have them plugged starting from the CRITICAL and HIGH ones:
Total: 26 (UNKNOWN: 0, LOW: 3, MEDIUM: 17, HIGH: 5, CRITICAL: 1)
┌──────────────────────────────────────────────────────────────┬────────────────┬──────────┬──────────┬───────────────────┬────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-core │ CVE-2025-52999 │ HIGH │ fixed │ 2.13.4 │ 2.15.0 │ com.fasterxml.jackson.core/jackson-core: jackson-core │
│ (agent-c4-2.3.2-all.jar) │ │ │ │ │ │ Potential StackoverflowError │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-52999 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (agent-c4-2.3.2-all.jar) │ CVE-2023-2976 │ MEDIUM │ │ 31.0.1-jre │ 32.0.0-android │ guava: insecure temporary directory creation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-8908 │ LOW │ │ │ │ guava: local information disclosure via temporary directory │
│ │ │ │ │ │ │ created with unsafe permissions │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8908 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.protobuf:protobuf-java (agent-c4-2.3.2-all.jar) │ CVE-2024-7254 │ HIGH │ │ 3.19.6 │ 3.25.5, 4.27.5, 4.28.2 │ protobuf: StackOverflow vulnerability in Protocol Buffers │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-7254 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ commons-configuration:commons-configuration │ CVE-2025-46392 │ LOW │ affected │ 1.10 │ │ apache-commons-configuration: Apache Commons Configuration: │
│ (agent-c4-2.3.2-all.jar) │ │ │ │ │ │ Uncontrolled Resource Consumption when loading untrusted │
│ │ │ │ │ │ │ configurations in... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-46392 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ commons-io:commons-io (agent-c4-2.3.2-all.jar) │ CVE-2024-47554 │ HIGH │ fixed │ 2.8.0 │ 2.14.0 │ apache-commons-io: Possible denial of service attack on │
│ │ │ │ │ │ │ untrusted input to XmlStreamReader │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-47554 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ commons-lang:commons-lang (agent-c4-2.3.2-all.jar) │ CVE-2025-48924 │ MEDIUM │ affected │ 2.6 │ │ commons-lang/commons-lang: org.apache.commons/commons-lang3: │
│ │ │ │ │ │ │ Uncontrolled Recursion vulnerability in Apache Commons Lang │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48924 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.airlift:aircompressor (agent-c4-2.3.2-all.jar) │ CVE-2024-36114 │ HIGH │ fixed │ 0.20 │ 0.27 │ Decompressors can crash the JVM and leak memory content in │
│ │ │ │ │ │ │ Aircompressor │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-36114 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec (agent-c4-2.3.2-all.jar) │ CVE-2025-58057 │ MEDIUM │ │ 4.1.89.Final │ 4.1.125.Final │ netty-codec: netty-codec-compression: Netty's BrotliDecoder │
│ │ │ │ │ │ │ is vulnerable to DoS via zip bomb style... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58057 │
├──────────────────────────────────────────────────────────────┼────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http (agent-c4-2.3.2-all.jar) │ CVE-2024-29025 │ │ │ │ 4.1.108.Final │ netty-codec-http: Allocation of Resources Without Limits or │
│ │ │ │ │ │ │ Throttling │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29025 │
│ ├────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-58056 │ LOW │ │ │ 4.1.125.Final, 4.2.5.Final │ netty-codec-http: Netty is vulnerable to request smuggling │
│ │ │ │ │ │ │ due to incorrect parsing of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58056 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-common (agent-c4-2.3.2-all.jar) │ CVE-2024-47535 │ MEDIUM │ │ │ 4.1.115.Final │ netty: Denial of Service attack on windows app using Netty │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-47535 │
│ ├────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-25193 │ │ │ │ 4.1.118.Final │ netty: Denial of Service attack on windows app using Netty │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-25193 │
├──────────────────────────────────────────────────────────────┼────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-handler (agent-c4-2.3.2-all.jar) │ CVE-2023-34462 │ │ │ │ 4.1.94.Final │ netty: SniHandler 16MB allocation leads to OOM │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34462 │
├──────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-compress (agent-c4-2.3.2-all.jar) │ CVE-2024-25710 │ │ │ 1.21 │ 1.26.0 │ commons-compress: Denial of service caused by an infinite │
│ │ │ │ │ │ │ loop for a corrupted... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-25710 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26308 │ │ │ │ │ commons-compress: OutOfMemoryError unpacking broken Pack200 │
│ │ │ │ │ │ │ file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26308 │
├──────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-lang3 (agent-c4-2.3.2-all.jar) │ CVE-2025-48924 │ │ │ 3.11 │ 3.18.0 │ commons-lang/commons-lang: org.apache.commons/commons-lang3: │
│ │ │ │ │ │ │ Uncontrolled Recursion vulnerability in Apache Commons Lang │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48924 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.asynchttpclient:async-http-client │ CVE-2024-53990 │ CRITICAL │ │ 2.12.1 │ 2.12.4, 3.0.1 │ async-http-client: AsyncHttpClient (AHC) library's │
│ (agent-c4-2.3.2-all.jar) │ │ │ │ │ │ `CookieStore` replaces explicitly defined `Cookie`s │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-53990 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcpkix-jdk15on (agent-c4-2.3.2-all.jar) │ CVE-2025-8916 │ MEDIUM │ │ 1.69 │ 1.79 │ org.bouncycastle: BouncyCastle denial of service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8916 │
├──────────────────────────────────────────────────────────────┼────────────────┤ ├──────────┤ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-ext-jdk15on (agent-c4-2.3.2-all.jar) │ CVE-2023-33201 │ │ affected │ │ │ bouncycastle: potential blind LDAP injection attack using a │
│ │ │ │ │ │ │ self-signed certificate │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-33201 │
│ ├────────────────┤ ├──────────┤ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-33202 │ │ fixed │ │ 1.73 │ bc-java: Out of memory while parsing ASN.1 crafted data in │
│ │ │ │ │ │ │ org.bouncycastle.openssl.PEMParser class... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-33202 │
├──────────────────────────────────────────────────────────────┼────────────────┤ ├──────────┤ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk15on (agent-c4-2.3.2-all.jar) │ CVE-2023-33201 │ │ affected │ │ │ bouncycastle: potential blind LDAP injection attack using a │
│ │ │ │ │ │ │ self-signed certificate │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-33201 │
│ ├────────────────┤ ├──────────┤ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-33202 │ │ fixed │ │ 1.70 │ bc-java: Out of memory while parsing ASN.1 crafted data in │
│ │ │ │ │ │ │ org.bouncycastle.openssl.PEMParser class... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-33202 │
│ ├────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-29857 │ │ │ │ 1.78 │ org.bouncycastle: Importing an EC certificate with crafted │
│ │ │ │ │ │ │ F2m parameters may lead to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29857 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-30171 │ │ │ │ │ bc-java: BouncyCastle vulnerable to a timing variant of │
│ │ │ │ │ │ │ Bleichenbacher (Marvin Attack) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30171 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (agent-c4-2.3.2-all.jar) │ CVE-2022-1471 │ HIGH │ │ 1.32 │ 2.0 │ SnakeYaml: Constructor Deserialization Remote Code Execution │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1471 │
└──────────────────────────────────────────────────────────────┴────────────────┴──────────┴──────────┴───────────────────┴────────────────────────────┴──────────────────────────────────────────────────────────────┘
Ref: SF 00104340