Skip to content

fix(deps): update dependency org.webjars:webjars-locator-lite to v1.1.4#31

Open
renovate-wenisch-tech[bot] wants to merge 1 commit into
mainfrom
renovate/non-major-dependencies
Open

fix(deps): update dependency org.webjars:webjars-locator-lite to v1.1.4#31
renovate-wenisch-tech[bot] wants to merge 1 commit into
mainfrom
renovate/non-major-dependencies

Conversation

@renovate-wenisch-tech

@renovate-wenisch-tech renovate-wenisch-tech Bot commented Jul 15, 2026

Copy link
Copy Markdown
Contributor

This PR contains the following updates:

Package Change Age Confidence
org.webjars:webjars-locator-lite (source) 1.1.31.1.4 age confidence

Warning

Some dependencies could not be looked up. Check the Dependency Dashboard for more information.


Configuration

📅 Schedule: (UTC)

  • Branch creation
    • At any time (no schedule defined)
  • Automerge
    • At any time (no schedule defined)

🚦 Automerge: Disabled by config. Please merge this manually once you are satisfied.

Rebasing: Whenever PR becomes conflicted, or you tick the rebase/retry checkbox.

🔕 Ignore: Close this PR and you won't be reminded about this update again.


  • If you want to rebase/retry this PR, check this box

This PR has been generated by Mend Renovate.

@github-actions

Copy link
Copy Markdown
Contributor

Trivy vulnerability report

Image: ghcr.io/wenisch-tech/s3webui:0.6.23-pr.31.177


Report Summary

┌────────────────────────────────────────────────────────────────┬───────┬─────────────────┐
│                             Target                             │ Type  │ Vulnerabilities │
├────────────────────────────────────────────────────────────────┼───────┼─────────────────┤
│ ghcr.io/wenisch-tech/s3webui:0.6.23-pr.31.177 (wolfi 20230201) │ wolfi │        0        │
├────────────────────────────────────────────────────────────────┼───────┼─────────────────┤
│ app/app.jar                                                    │  jar  │       31        │
└────────────────────────────────────────────────────────────────┴───────┴─────────────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)


For OSS Maintainers: VEX Notice
--------------------------------
If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://trivy.dev/docs/v0.72/guide/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.


Java (jar)
==========
Total: 31 (MEDIUM: 14, HIGH: 12, CRITICAL: 5)

┌─────────────────────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────────────────────┬──────────────────────────────────────────────────────────────┐
│                           Library                           │ Vulnerability  │ Severity │ Status │ Installed Version │         Fixed Version         │                            Title                             │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind (app.jar)       │ CVE-2026-54512 │ HIGH     │ fixed  │ 2.18.6            │ 2.18.8, 3.1.4, 2.21.4         │ jackson-databind: jackson-databind: Arbitrary code execution │
│                                                             │                │          │        │                   │                               │ via PolymorphicTypeValidator bypass                          │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-54512                   │
│                                                             ├────────────────┤          │        │                   ├───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-54513 │          │        │                   │ 2.18.8, 2.21.4, 3.1.4         │ jackson-databind: Jackson-databind: Security bypass allows   │
│                                                             │                │          │        │                   │                               │ arbitrary code execution                                     │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-54513                   │
│                                                             ├────────────────┼──────────┤        │                   │                               ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-54514 │ MEDIUM   │        │                   │                               │ jackson-databind: jackson-databind: Information Disclosure   │
│                                                             │                │          │        │                   │                               │ via Eager DNS Resolution                                     │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-54514                   │
│                                                             ├────────────────┤          │        │                   ├───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-54515 │          │        │                   │ 3.1.4, 2.18.9, 2.21.5, 2.22.1 │ jackson-databind: jackson-databind: Ignored properties can   │
│                                                             │                │          │        │                   │                               │ be unexpectedly modified                                     │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-54515                   │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec (app.jar)                              │ CVE-2026-42583 │ HIGH     │        │ 4.1.132.Final     │ 4.1.133.Final                 │ netty: io.netty/netty-codec-compression:                     │
│                                                             │                │          │        │                   │                               │ io.netty/netty-codec: Netty: Denial of Service via excessive │
│                                                             │                │          │        │                   │                               │ memory allocation in...                                      │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-42583                   │
├─────────────────────────────────────────────────────────────┼────────────────┤          │        │                   ├───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http (app.jar)                         │ CVE-2026-42584 │          │        │                   │ 4.2.13.Final, 4.1.133.Final   │ netty: io.netty/netty-codec-http: Netty: Incorrect HTTP      │
│                                                             │                │          │        │                   │                               │ response parsing leads to data confusion                     │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-42584                   │
│                                                             ├────────────────┤          │        │                   │                               ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-42587 │          │        │                   │                               │ netty: io.netty/netty-codec-http:                            │
│                                                             │                │          │        │                   │                               │ io.netty/netty-codec-http2: Netty: Denial of Service via     │
│                                                             │                │          │        │                   │                               │ unbounded memory allocation in...                            │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-42587                   │
│                                                             ├────────────────┼──────────┤        │                   ├───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-41417 │ MEDIUM   │        │                   │ 4.1.133.Final, 4.2.13.Final   │ netty: Netty: HTTP request smuggling via URI manipulation    │
│                                                             │                │          │        │                   │                               │ and CRLF injection                                           │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-41417                   │
│                                                             ├────────────────┤          │        │                   ├───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-42580 │          │        │                   │ 4.2.13.Final, 4.1.133.Final   │ netty: Netty: Request smuggling via chunk size parser        │
│                                                             │                │          │        │                   │                               │ integer overflow                                             │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-42580                   │
│                                                             ├────────────────┤          │        │                   │                               ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-42581 │          │        │                   │                               │ netty: io.netty/netty-codec-http: Netty: HTTP Request        │
│                                                             │                │          │        │                   │                               │ Smuggling due to improper handling of conflicting...         │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-42581                   │
│                                                             ├────────────────┤          │        │                   │                               ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-42585 │          │        │                   │                               │ netty: io.netty/netty-codec-http: Netty: Request smuggling   │
│                                                             │                │          │        │                   │                               │ via malformed Transfer-Encoding parsing                      │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-42585                   │
│                                                             ├────────────────┤          │        │                   ├───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-50020 │          │        │                   │ 4.2.15.Final, 4.1.135.Final   │ netty-codec-http: Netty: Data manipulation via               │
│                                                             │                │          │        │                   │                               │ request-boundary confusion in HttpObjectDecoder              │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-50020                   │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤        │                   ├───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http2 (app.jar)                        │ CVE-2026-42587 │ HIGH     │        │                   │ 4.2.13.Final, 4.1.133.Final   │ netty: io.netty/netty-codec-http:                            │
│                                                             │                │          │        │                   │                               │ io.netty/netty-codec-http2: Netty: Denial of Service via     │
│                                                             │                │          │        │                   │                               │ unbounded memory allocation in...                            │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-42587                   │
│                                                             ├────────────────┼──────────┤        │                   ├───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-47244 │ MEDIUM   │        │                   │ 4.2.15.Final, 4.1.135.Final   │ netty-codec-http2: Netty: Denial of Service via uncontrolled │
│                                                             │                │          │        │                   │                               │ HTTP/2 concurrent streams                                    │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-47244                   │
│                                                             ├────────────────┤          │        │                   ├───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-48043 │          │        │                   │ 4.1.135.Final, 4.2.15.Final   │ netty-codec-http2: netty-codec-http2: Denial of Service due  │
│                                                             │                │          │        │                   │                               │ to resource leak                                             │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-48043                   │
│                                                             ├────────────────┤          │        │                   ├───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-50560 │          │        │                   │ 4.2.15.Final, 4.1.135.Final   │ netty-codec-http2: Netty: Denial of Service due to HTTP/2    │
│                                                             │                │          │        │                   │                               │ max header size handling...                                  │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-50560                   │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤        │                   │                               ├──────────────────────────────────────────────────────────────┤
│ io.netty:netty-handler (app.jar)                            │ CVE-2026-44249 │ HIGH     │        │                   │                               │ netty-handler: netty-handler: IPv6 subnet rule bypass due to │
│                                                             │                │          │        │                   │                               │ incorrect masking operation                                  │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-44249                   │
│                                                             ├────────────────┤          │        │                   │                               ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-45416 │          │        │                   │                               │ netty-handler: Netty: Denial of Service due to eager buffer  │
│                                                             │                │          │        │                   │                               │ allocation in TLS...                                         │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-45416                   │
│                                                             ├────────────────┤          │        │                   │                               ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-50010 │          │        │                   │                               │ netty-handler: Netty: Improper trust manager handling leads  │
│                                                             │                │          │        │                   │                               │ to hostname verification bypass                              │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-50010                   │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.tomcat.embed:tomcat-embed-core (app.jar)         │ CVE-2026-41293 │ CRITICAL │        │ 10.1.54           │ 9.0.118, 10.1.55, 11.0.22     │ tomcat-coyote: Apache Tomcat: HTTP/2 request headers not     │
│                                                             │                │          │        │                   │                               │ validated                                                    │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-41293                   │
│                                                             ├────────────────┤          │        │                   │                               ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-43512 │          │        │                   │                               │ tomcat-coyote: Apache Tomcat: Authentication bypass via      │
│                                                             │                │          │        │                   │                               │ digest authentication                                        │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-43512                   │
│                                                             ├────────────────┤          │        │                   │                               ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-43515 │          │        │                   │                               │ tomcat-coyote: tomcat: Improper Authorization allows         │
│                                                             │                │          │        │                   │                               │ security bypass                                              │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-43515                   │
│                                                             ├────────────────┼──────────┤        │                   │                               ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-41284 │ HIGH     │        │                   │                               │ Allocation of Resources Without Limits or Throttling         │
│                                                             │                │          │        │                   │                               │ vulnerability in ...                                         │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-41284                   │
│                                                             ├────────────────┤          │        │                   │                               ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-42498 │          │        │                   │                               │ tomcat-coyote: Apache Tomcat: Information disclosure due to  │
│                                                             │                │          │        │                   │                               │ HTTP Authentication Header exposure during...                │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-42498                   │
│                                                             ├────────────────┤          │        │                   │                               ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2026-43513 │          │        │                   │                               │ tomcat-catalina: Apache Tomcat: Improper Handling of Case    │
│                                                             │                │          │        │                   │                               │ Sensitivity in LockOutRealm                                  │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-43513                   │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework.security:spring-security-core (app.jar) │ CVE-2026-22751 │ MEDIUM   │        │ 6.5.9             │ 6.5.10, 7.0.5                 │ Spring Security: JdbcOneTimeTokenService: Spring Security:   │
│                                                             │                │          │        │                   │                               │ Authentication bypass due to race condition in...            │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-22751                   │
├─────────────────────────────────────────────────────────────┼────────────────┤          │        │                   │                               ├──────────────────────────────────────────────────────────────┤
│ org.springframework.security:spring-security-oauth2-jose    │ CVE-2026-22748 │          │        │                   │                               │ Spring Security: Spring Security: Integrity impact due to    │
│ (app.jar)                                                   │                │          │        │                   │                               │ improper JSON Web Token...                                   │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-22748                   │
├─────────────────────────────────────────────────────────────┼────────────────┤          │        │                   ├───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework.security:spring-security-web (app.jar)  │ CVE-2026-47838 │          │        │                   │ 6.5.11                        │ Spring Security Vulnerable to Unauthorized User              │
│                                                             │                │          │        │                   │                               │ Impersonation when Using X.509 Client Certificates...        │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-47838                   │
├─────────────────────────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework:spring-webmvc (app.jar)                 │ CVE-2026-22745 │          │        │ 6.2.17            │ 7.0.7, 6.2.18                 │ spring-webflux: Spring MVC and Spring WebFlux: Denial of     │
│                                                             │                │          │        │                   │                               │ Service via slow static...                                   │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-22745                   │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼───────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.thymeleaf:thymeleaf (app.jar)                           │ CVE-2026-41901 │ CRITICAL │        │ 3.1.4.RELEASE     │ 3.1.5.RELEASE                 │ thymeleaf: Thymeleaf: Server-Side Template Injection (SSTI)  │
│                                                             │                │          │        │                   │                               │ via expression execution bypass                              │
│                                                             │                │          │        │                   │                               │ https://avd.aquasec.com/nvd/cve-2026-41901                   │
├─────────────────────────────────────────────────────────────┤                │          │        │                   │                               │                                                              │
│ org.thymeleaf:thymeleaf-spring6 (app.jar)                   │                │          │        │                   │                               │                                                              │
│                                                             │                │          │        │                   │                               │                                                              │
│                                                             │                │          │        │                   │                               │                                                              │
└─────────────────────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────────────────────┴──────────────────────────────────────────────────────────────┘

@renovate-wenisch-tech renovate-wenisch-tech Bot changed the title fix(deps): update non-major dependencies fix(deps): update dependency org.webjars:webjars-locator-lite to v1.1.4 Jul 15, 2026
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Projects

None yet

Development

Successfully merging this pull request may close these issues.

0 participants