远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2020: 2512 公告中提及的多个漏洞的影响。

  - CVE-2020-6950 Mojarra：loc 参数或 con 参数导致的路径遍历，CVE-2018-14371 的不完整修复

  - thrift：当源具有特定输入数据时，存在无限循环 (CVE-2019-0205)

  - thrift：与 TJSONProtocol 或 TSimpleJSONProtocol 相关的越界读取 (CVE-2019-0210)

  - jackson-mapper-asl：XML 外部实体类似于 CVE-2016-3720 (CVE-2019-10172)

  - cxf：OpenId Connect 令牌服务未正确验证 clientId (CVE-2019-12423)

  - wildfly：如果 OpenSSL 安全提供程序在使用中，则不遵从旧版安全提供程序中的“enabled-protocols”值 (CVE-2019-14887)

  - cxf：服务清单页面存在反射型 XSS (CVE-2019-17573)

  - RESTEasy：RESTEasy 中的 RESTEASY003870 异常可导致反射型 XSS 攻击 (CVE-2020-10688)

  - undertow：可通过 Expect: 100-continue 标头在 HttpReadListener 中造成内存耗尽问题 (CVE-2020-10705)

  - undertow：具有大区块大小的无效 HTTP 请求 (CVE-2020-10719)

  - resteasy：未正确验证 MediaTypeHeaderDelegate.java 类中的响应标头 (CVE-2020-1695)

  - wildfly：使用其他安全域调用另一个 EJB 之后，EJBContext 主体未能弹出 (CVE-2020-1719)

  - SmallRye：SecuritySupport 类遭错误公开，且包含用于访问当前线程环境类加载器的静态方法 (CVE-2020-1729)

  - undertow：AJP 文件读取/注入漏洞 (CVE-2020-1745)

  - undertow：servletPath 未经正确标准化，因此会造成危险的应用程序映射，这可能会导致安全绕过 (CVE-2020-1757)

  -  Mojarra：loc 参数或 con 参数导致的路径遍历，CVE-2018-14371 的不完整修复 (CVE-2020-6950)

  - cryptacular：解码时发生内存分配过度 (CVE-2020-7226)

  - jackson-databind：缺少特定 xbean-reflect/JNDI 阻断 (CVE-2020-8840)

  - jackson-databind：shaded-hikari-config 中的序列化小工具 (CVE-2020-9546)

  - jackson-databind：ibatis-sqlmap 中的序列化小工具 (CVE-2020-9547)

  - jackson-databind：anteros-core 中的序列化小工具 (CVE-2020-9548)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2020: 2513 公告中提及的多个漏洞的影响。

  - CVE-2020-6950 Mojarra：loc 参数或 con 参数导致的路径遍历，CVE-2018-14371 的不完整修复

  - thrift：当源具有特定输入数据时，存在无限循环 (CVE-2019-0205)

  - thrift：与 TJSONProtocol 或 TSimpleJSONProtocol 相关的越界读取 (CVE-2019-0210)

  - jackson-mapper-asl：XML 外部实体类似于 CVE-2016-3720 (CVE-2019-10172)

  - cxf：OpenId Connect 令牌服务未正确验证 clientId (CVE-2019-12423)

  - wildfly：如果 OpenSSL 安全提供程序在使用中，则不遵从旧版安全提供程序中的“enabled-protocols”值 (CVE-2019-14887)

  - cxf：服务清单页面存在反射型 XSS (CVE-2019-17573)

  - RESTEasy：RESTEasy 中的 RESTEASY003870 异常可导致反射型 XSS 攻击 (CVE-2020-10688)

  - undertow：可通过 Expect: 100-continue 标头在 HttpReadListener 中造成内存耗尽问题 (CVE-2020-10705)

  - undertow：具有大区块大小的无效 HTTP 请求 (CVE-2020-10719)

  - resteasy：未正确验证 MediaTypeHeaderDelegate.java 类中的响应标头 (CVE-2020-1695)

  - wildfly：使用其他安全域调用另一个 EJB 之后，EJBContext 主体未能弹出 (CVE-2020-1719)

  - SmallRye：SecuritySupport 类遭错误公开，且包含用于访问当前线程环境类加载器的静态方法 (CVE-2020-1729)

  - undertow：AJP 文件读取/注入漏洞 (CVE-2020-1745)

  - undertow：servletPath 未经正确标准化，因此会造成危险的应用程序映射，这可能会导致安全绕过 (CVE-2020-1757)

  -  Mojarra：loc 参数或 con 参数导致的路径遍历，CVE-2018-14371 的不完整修复 (CVE-2020-6950)

  - cryptacular：解码时发生内存分配过度 (CVE-2020-7226)

  - jackson-databind：缺少特定 xbean-reflect/JNDI 阻断 (CVE-2020-8840)

  - jackson-databind：shaded-hikari-config 中的序列化小工具 (CVE-2020-9546)

  - jackson-databind：ibatis-sqlmap 中的序列化小工具 (CVE-2020-9547)

  - jackson-databind：anteros-core 中的序列化小工具 (CVE-2020-9548)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

已在 libjackson-json-java 中修复多个漏洞。

CVE-2017-7525

Jackson Deserializer 安全漏洞。

CVE-2017-15095

阻断更多来自多型反序列化的 JDK 类型。

CVE-2019-10172

XML 外部实体漏洞。

对于 Debian 8“Jessie”，已在版本 1.9.2-3+deb8u1 中修复这些问题。

我们建议您升级 libjackson-json-java 程序包。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

已在 Java JSON 处理器 libjackson-json-java 中修复多个漏洞。

CVE-2017-7525

Jackson Deserializer 安全漏洞。

CVE-2017-15095

阻断更多来自多型反序列化的 JDK 类型。

CVE-2019-10172

XML 外部实体漏洞。

对于 Debian 9 stretch，已在版本 1.9.2-8+deb9u1 中修复这些问题。

我们建议您升级 libjackson-json-java 程序包。

如需了解 libjackson-json-java 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/libjackson-json-java

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2020: 2058 公告中提及的多个漏洞的影响。

  - jackson-mapper-asl：XML 外部实体类似于 CVE-2016-3720 (CVE-2019-10172)

  - cxf：OpenId Connect 令牌服务未正确验证 clientId (CVE-2019-12423)

  - cxf：服务清单页面存在反射型 XSS (CVE-2019-17573)

  - undertow：可通过 Expect: 100-continue 标头在 HttpReadListener 中造成内存耗尽问题 (CVE-2020-10705)

  - undertow：具有大区块大小的无效 HTTP 请求 (CVE-2020-10719)

  - wildfly：使用其他安全域调用另一个 EJB 之后，EJBContext 主体未能弹出 (CVE-2020-1719)

  - SmallRye：SecuritySupport 类遭错误公开，且包含用于访问当前线程环境类加载器的静态方法 (CVE-2020-1729)

  - Soteria：不同并发线程中的安全身份损坏 (CVE-2020-1732)

  - undertow：AJP 文件读取/注入漏洞 (CVE-2020-1745)

  - undertow：servletPath 未经正确标准化，因此会造成危险的应用程序映射，这可能会导致安全绕过 (CVE-2020-1757)

  - cryptacular：解码时发生内存分配过度 (CVE-2020-7226)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2020: 2060 公告中提及的多个漏洞的影响。

  - jackson-mapper-asl：XML 外部实体类似于 CVE-2016-3720 (CVE-2019-10172)

  - cxf：OpenId Connect 令牌服务未正确验证 clientId (CVE-2019-12423)

  - cxf：服务清单页面存在反射型 XSS (CVE-2019-17573)

  - undertow：可通过 Expect: 100-continue 标头在 HttpReadListener 中造成内存耗尽问题 (CVE-2020-10705)

  - undertow：具有大区块大小的无效 HTTP 请求 (CVE-2020-10719)

  - wildfly：使用其他安全域调用另一个 EJB 之后，EJBContext 主体未能弹出 (CVE-2020-1719)

  - SmallRye：SecuritySupport 类遭错误公开，且包含用于访问当前线程环境类加载器的静态方法 (CVE-2020-1729)

  - Soteria：不同并发线程中的安全身份损坏 (CVE-2020-1732)

  - undertow：AJP 文件读取/注入漏洞 (CVE-2020-1745)

  - undertow：servletPath 未经正确标准化，因此会造成危险的应用程序映射，这可能会导致安全绕过 (CVE-2020-1757)

  - cryptacular：解码时发生内存分配过度 (CVE-2020-7226)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 Atlassian Confluence Server 版本受到 CONFSERVER-99547 公告中提及的一个漏洞影响。

  - 在 org.codehaus.jackson:jackson-mapper-asl:1.9.x 库中发现一个缺陷。类似 CVE-2016-3720 的 XML 外部实体扣动也会影响 codehaus jackson-mapper-asl 库，但涉及的类别不同。(CVE-2019-10172)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在 org.codehaus.jackson:jackson-mapper-asl:1.9.x 库中发现一个缺陷。类似 CVE-2016-3720 的 XML 外部实体扣动也会影响 codehaus jackson-mapper-asl 库，但涉及的类别不同。(CVE-2019-10172)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Ubuntu 16.04 LTS 主机上安装的程序包受到 USN-4741-1 公告中提及的多个漏洞的影响。

  * 在 jackson-databind（2.6.7.1、2.7.9.1 和 2.8.9 之前的版本）中发现反序列化缺陷，这可能导致未经过身份验证的用户通过向 ObjectMapper 的 readValue 方法发送恶意构建的输入来实施代码执行。(CVE-2017-7525)

  * 在 jackson-databind（2.8.10 和 2.9.1 之前的版本）中发现反序列化缺陷，这可能允许未经过身份验证的用户通过向 ObjectMapper 的 readValue 方法发送恶意构建的输入来实施代码执行。此问题将可能遭到恶意利用的更多类别加入黑名单，进而扩大了先前的缺陷 CVE-2017-7525。(CVE-2017-15095)

  - 在 org.codehaus.jackson: jackson-mapper-asl: 1.9.x 库中发现一个缺陷。类似 CVE-2016-3720 的 XML 外部实体扣动也会影响 codehaus jackson-mapper-asl 库，但涉及的类别不同。(CVE-2019-10172)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

远程主机上安装的 Oracle Business Intelligence Enterprise Edition (OBIEE) 版本受到 2023 年 4 月 CPU 公告中提及的多个漏洞影响。

  - 在 org.codehaus.jackson: jackson-mapper-asl: 1.9.x 库中发现一个缺陷。类似 CVE-2016-3720 的 XML 外部实体扣动也会影响 codehaus jackson-mapper-asl 库，但涉及的类别不同。(CVE-2019-10172)

  - 在 Legion of the Bouncy Castle BC Java 1.65 和 1.66 版中发现一个问题。OpenBSDBCrypt.checkPassword 实用工具方法在检查密码时会比较错误的数据，从而允许不正确的密码表明它们与之前经过哈希处理的不同密码匹配。
    (CVE-2020-28052)

  XMLBeans 2.6.0 以下版本使用的 XML 解析器未设置保护用户免受恶意 XML 输入影响所需的属性。漏洞包括可造成 XML 实体扩展攻击的问题。影响 XMLBeans v2.6.0 及之前版本。(CVE-2021-23926)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2020: 2511 公告中提及的多个漏洞的影响。

  - CVE-2020-6950 Mojarra：loc 参数或 con 参数导致的路径遍历，CVE-2018-14371 的不完整修复

  - thrift：当源具有特定输入数据时，存在无限循环 (CVE-2019-0205)

  - thrift：与 TJSONProtocol 或 TSimpleJSONProtocol 相关的越界读取 (CVE-2019-0210)

  - jackson-mapper-asl：XML 外部实体类似于 CVE-2016-3720 (CVE-2019-10172)

  - cxf：OpenId Connect 令牌服务未正确验证 clientId (CVE-2019-12423)

  - wildfly：如果 OpenSSL 安全提供程序在使用中，则不遵从旧版安全提供程序中的“enabled-protocols”值 (CVE-2019-14887)

  - cxf：服务清单页面存在反射型 XSS (CVE-2019-17573)

  - RESTEasy：RESTEasy 中的 RESTEASY003870 异常可导致反射型 XSS 攻击 (CVE-2020-10688)

  - undertow：可通过 Expect: 100-continue 标头在 HttpReadListener 中造成内存耗尽问题 (CVE-2020-10705)

  - undertow：具有大区块大小的无效 HTTP 请求 (CVE-2020-10719)

  - resteasy：未正确验证 MediaTypeHeaderDelegate.java 类中的响应标头 (CVE-2020-1695)

  - wildfly：使用其他安全域调用另一个 EJB 之后，EJBContext 主体未能弹出 (CVE-2020-1719)

  - SmallRye：SecuritySupport 类遭错误公开，且包含用于访问当前线程环境类加载器的静态方法 (CVE-2020-1729)

  - undertow：AJP 文件读取/注入漏洞 (CVE-2020-1745)

  - undertow：servletPath 未经正确标准化，因此会造成危险的应用程序映射，这可能会导致安全绕过 (CVE-2020-1757)

  -  Mojarra：loc 参数或 con 参数导致的路径遍历，CVE-2018-14371 的不完整修复 (CVE-2020-6950)

  - cryptacular：解码时发生内存分配过度 (CVE-2020-7226)

  - jackson-databind：缺少特定 xbean-reflect/JNDI 阻断 (CVE-2020-8840)

  - jackson-databind：shaded-hikari-config 中的序列化小工具 (CVE-2020-9546)

  - jackson-databind：ibatis-sqlmap 中的序列化小工具 (CVE-2020-9547)

  - jackson-databind：anteros-core 中的序列化小工具 (CVE-2020-9548)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2020: 2059 公告中提及的多个漏洞的影响。

  - jackson-mapper-asl：XML 外部实体类似于 CVE-2016-3720 (CVE-2019-10172)

  - cxf：OpenId Connect 令牌服务未正确验证 clientId (CVE-2019-12423)

  - cxf：服务清单页面存在反射型 XSS (CVE-2019-17573)

  - undertow：可通过 Expect: 100-continue 标头在 HttpReadListener 中造成内存耗尽问题 (CVE-2020-10705)

  - undertow：具有大区块大小的无效 HTTP 请求 (CVE-2020-10719)

  - wildfly：使用其他安全域调用另一个 EJB 之后，EJBContext 主体未能弹出 (CVE-2020-1719)

  - SmallRye：SecuritySupport 类遭错误公开，且包含用于访问当前线程环境类加载器的静态方法 (CVE-2020-1729)

  - Soteria：不同并发线程中的安全身份损坏 (CVE-2020-1732)

  - undertow：AJP 文件读取/注入漏洞 (CVE-2020-1745)

  - undertow：servletPath 未经正确标准化，因此会造成危险的应用程序映射，这可能会导致安全绕过 (CVE-2020-1757)

  - cryptacular：解码时发生内存分配过度 (CVE-2020-7226)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
137333	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.3.1 安全更新（重要）(RHSA-2020: 2512)	Nessus	Red Hat Local Security Checks	2020/6/11	2024/11/7	critical
137334	RHEL 8：Red Hat JBoss Enterprise Application Platform 7.3.1 安全更新（重要）(RHSA-2020: 2513)	Nessus	Red Hat Local Security Checks	2020/6/11	2024/11/7	critical
133411	Debian DLA-2091-1：libjackson-json-java 安全更新	Nessus	Debian Local Security Checks	2020/2/3	2024/3/28	critical
139774	Debian DLA-2342-1：libjackson-json-java 安全更新	Nessus	Debian Local Security Checks	2020/8/25	2024/2/23	critical
136494	RHEL 6：RHEL 6 上的 Red Hat JBoss Enterprise Application Platform 7.2.8 (RHSA-2020: 2058)	Nessus	Red Hat Local Security Checks	2020/5/12	2024/11/8	critical
136495	RHEL 8：RHEL 8 上的 Red Hat JBoss Enterprise Application Platform 7.2.8 (RHSA-2020: 2060)	Nessus	Red Hat Local Security Checks	2020/5/12	2024/11/7	critical
237249	Atlassian Confluence 8.5.x < 8.5.21 / 8.6.x < 9.2.3 / 9.3.x < 9.4.0 (CONFSERVER-99547)	Nessus	CGI abuses	2025/5/26	2025/5/26	high
252733	Linux Distros 未修补的漏洞：CVE-2019-10172	Nessus	Misc.	2025/8/20	2025/8/20	high
147976	Ubuntu 16.04 LTS：Jackson 漏洞 (USN-4741-1)	Nessus	Ubuntu Local Security Checks	2021/3/23	2024/8/27	critical
174742	Oracle Business Intelligence Enterprise Edition（2023 年 4 月 CPU）	Nessus	Misc.	2023/4/25	2023/7/21	critical
137331	RHEL 6：Red Hat JBoss Enterprise Application Platform 7.3.1 安全更新（重要）(RHSA-2020: 2511)	Nessus	Red Hat Local Security Checks	2020/6/11	2024/11/7	critical
136498	RHEL 7：RHEL 7 上的 Red Hat JBoss Enterprise Application Platform 7.2.8 (RHSA-2020: 2059)	Nessus	Red Hat Local Security Checks	2020/5/12	2024/11/7	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical

high

high

critical

critical

critical

critical