The 17.12.11, 18.8.11, 19.12.10, and 20.12.0 versions of Primavera Gateway installed on the remote host are affected by multiple vulnerabilities as referenced in the July 2021 CPU advisory.

  - Vulnerability in the Primavera Gateway product of Oracle Construction and Engineering (component: Admin     (Nimbus JOSE+JWT)). Supported versions that are affected are 18.8.0-18.8.11. Easily exploitable     vulnerability allows unauthenticated attacker with network access via HTTP to compromise Primavera     Gateway. Successful attacks of this vulnerability can result in takeover of Primavera Gateway.
    (CVE-2019-17195)

  - Vulnerability in the Primavera Gateway product of Oracle Construction and Engineering (component: Admin     (Lodash)). Supported versions that are affected are 17.12.0-17.12.11, 18.8.0-18.8.11, 19.12.0-19.12.10 and     20.12.0. Difficult to exploit vulnerability allows unauthenticated attacker with network access via HTTP     to compromise Primavera Gateway. Successful attacks of this vulnerability can result in unauthorized     creation, deletion or modification access to critical data or all Primavera Gateway accessible data and     unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of Primavera Gateway.
    (CVE-2020-8203)

  - Vulnerability in the Primavera Gateway product of Oracle Construction and Engineering (component: Admin     (Netty)). Supported versions that are affected are 17.12.0-17.12.11, 18.8.0-18.8.11 and 19.12.0-19.12.10.
    Difficult to exploit vulnerability allows unauthenticated attacker with network access via HTTP to     compromise Primavera Gateway. Successful attacks of this vulnerability can result in unauthorized     creation, deletion or modification access to critical data or all Primavera Gateway accessible data.
    (CVE-2021-21409)     
  - Vulnerability in the Primavera Gateway product of Oracle Construction and Engineering (component:
    jackson-databind). (CVE-2020-36189)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The 17.12, 18.8, 19.12, and 20.12 versions of Primavera Unifier installed on the remote host are affected by multiple vulnerabilities as referenced in the July 2021 CPU advisory.

  - Security-in-Depth issue in the Oracle Spatial and Graph Network Data Model (jackson-databind) component of     Oracle Primavera Unifier. (CVE-2020-36189)

  - Vulnerability in the Primavera Unifier product of Oracle Construction and Engineering (component: Core     (Apache PDFbox)). Supported versions that are affected are 17.7-17.12, 18.8, 19.12 and 20.12. Easily     exploitable vulnerability allows unauthenticated attacker with logon to the infrastructure where Primavera     Unifier executes to compromise Primavera Unifier. Successful attacks require human interaction from a     person other than the attacker. Successful attacks of this vulnerability can result in unauthorized     ability to cause a hang or frequently repeatable crash (complete DOS) of Primavera Unifier.
    (CVE-2021-27906)

  - Vulnerability in the Primavera Unifier product of Oracle Construction and Engineering (component: Core UI     (dojo)). Supported versions that are affected are 17.7-17.12, 18.8, 19.12 and 20.12. Easily exploitable     vulnerability allows low privileged attacker with network access via HTTP to compromise Primavera Unifier.
    Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to     some of Primavera Unifier accessible data. (CVE-2020-5258)

  - Security-in-Depth issue in the Oracle Spatial and Graph Network Data Model (jackson-databind) component of     Oracle Database Server. This vulnerability cannot be exploited in the context of this product.
    (CVE-2020-25649)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The version of Splunk installed on the remote host is prior to tested version. It is, therefore, affected by a vulnerability as referenced in the SVD-2024-0303 advisory.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

Multiple security vulnerabilities were found in Jackson Databind.

CVE-2020-24616

FasterXML jackson-databind 2.x before 2.9.10.6 mishandles the interaction between serialization gadgets and typing, related to br.com.anteros.dbcp.AnterosDBCPDataSource (aka Anteros-DBCP).

CVE-2020-24750

FasterXML jackson-databind 2.x before 2.9.10.6 mishandles the interaction between serialization gadgets and typing, related to com.pastdev.httpcomponents.configuration.JndiConfiguration.

CVE-2020-25649

A flaw was found in FasterXML Jackson Databind, where it did not have entity expansion secured properly. This flaw allows vulnerability to XML external entity (XXE) attacks. The highest threat from this vulnerability is data integrity.

CVE-2020-35490

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.

CVE-2020-35491

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.commons.dbcp2.datasources.SharedPoolDataSource.

CVE-2020-35728

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (aka embedded Xalan in org.glassfish.web/javax.servlet.jsp.jstl).

CVE-2020-36179

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS.

CVE-2020-36180

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS.

CVE-2020-36181

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS.

CVE-2020-36182

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.

CVE-2020-36183

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool.

CVE-2020-36184

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource.

CVE-2020-36185

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource.

CVE-2020-36186

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource.

CVE-2020-36187

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource.

CVE-2020-36188

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to com.newrelic.agent.deps.ch.qos.logback.core.db.JNDICS.

CVE-2020-36189

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS.

CVE-2021-20190

A flaw was found in jackson-databind before 2.9.10.7. FasterXML mishandles the interaction between serialization gadgets and typing.
The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.

For Debian 9 stretch, these problems have been fixed in version 2.8.6-1+deb9u9.

We recommend that you upgrade your jackson-databind packages.

For the detailed security status of jackson-databind please refer to its security tracker page at:
https://security-tracker.debian.org/tracker/jackson-databind

NOTE: Tenable Network Security has extracted the preceding description block directly from the DLA security advisory. Tenable has attempted to automatically clean and format it as much as possible without introducing additional issues.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets     and typing, related to com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource.
    (CVE-2020-36189)

Note that Nessus relies on the presence of the package as reported by the vendor.

リモートホストにインストールされているPrimavera Unifierのバージョン17.12、18.8、19.12、20.12 は、2021年7月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Oracle Primavera UnifierのOracle SpatialとGraph Network Data Model（jackson-databind）コンポーネントのセキュリティの詳細な問題。（CVE-2020-36189）

  - OracleコンストラクションおよびエンジニアリングのPrimavera Unifier製品の脆弱性（コンポーネント: Core（Apache PDFbox））。サポートされているバージョンで影響を受けるのは、17.7-17.12、18.8、19.12、20.12です。簡単に悪用可能な脆弱性により、権限のない攻撃者が、Primavera Unifierが実行されているインフラストラクチャにログオンし、Primavera Unifierを危険にさらす可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、Primavera Unifierをハングさせたり、頻繁にクラッシュを繰り返させたりする（完全なDOS）可能性があります。
    （CVE-2021-27906）

  - OracleコンストラクションおよびエンジニアリングのPrimavera Unifier製品の脆弱性（コンポーネント: Core UI（dojo））。サポートされているバージョンで影響を受けるのは、17.7-17.12、18.8、19.12、20.12です。容易に悪用可能な脆弱性により、権限の低い攻撃者がHTTPを介してネットワークにアクセスし、Primavera Unifierを侵害する可能性があります。
    この脆弱性に対して攻撃が成功すると、Primavera Unifierがアクセスできるいくつかのデータを、権限なしで更新、挿入、または削除可能になります。（CVE-2020-5258）

  - Oracle Database ServerのOracle SpatialとGraph Network Data Model（jackson-databind）コンポーネントのセキュリティの詳細な問題。この脆弱性は、この製品のコンテキストでは悪用できません。
    （CVE-2020-25649）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - 2.9.10.82.x 之前的 FasterXML jackson-databind  ] 未正確處理序列化小工具和輸入之間的互動此問題與 com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource 相關。
    (CVE-2020-36189)

請注意，Nessus 依賴供應商報告的套件存在。

在 Jackson Databind 中發現多個安全性弱點。

CVE-2020-24616

FasterXML jackson-databind 2.9.10.6 之前的2.x 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 br.com.anteros.dbcp.AnterosDBCPDataSource (即 Anteros-DBCP) 相關。

CVE-2020-24750

FasterXML jackson-databind 2.9.10.6 之前的2.x 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 com.pastdev.httpcomponents.configuration.JndiConfiguration 相關。

CVE-2020-25649

在 FasterXML Jackson Databind 中發現一個瑕疵，其未正確保護實體擴充。攻擊者可利用此瑕疵發動 XML 外部實體 (XXE) 攻擊。此弱點對資料完整性的威脅最大。

CVE-2020-35490

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.commons.dbcp2.datasources.PerUserPoolDataSource 有關。

CVE-2020-35491

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.commons.dbcp2.datasources.SharedPoolDataSource 有關。

CVE-2020-35728

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題涉及 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (即 org.glassfish.web/javax.servlet.jsp.jstl 中的內嵌 Xalan)。

CVE-2020-36179

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS 有關。

CVE-2020-36180

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS 有關。

CVE-2020-36181

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS 有關。

CVE-2020-36182

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS 有關。

CVE-2020-36183

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題涉及 org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool。

CVE-2020-36184

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource 有關。

CVE-2020-36185

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource 有關。

CVE-2020-36186

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource 有關。

CVE-2020-36187

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource 有關。

CVE-2020-36188

FasterXML jackson-databind 2.9.10.8 之前的2.x 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 com.newrelic.agent.deps.ch.qos.logback.core.db.JNDICS 相關。

CVE-2020-36189

FasterXML jackson-databind 2.9.10.8 之前的2.x 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS 相關。

CVE-2021-20190

在 jackson-databind 2.9.10.7 之前版本中發現一個缺陷。FasterXML 未正確處理序列化小工具和輸入之間的互動。
此弱點對於資料的機密性和完整性以及系統可用性威脅最大。

針對 Debian 9 Stretch，已在 2.8.6-1+deb9u9 版本中修正這些問題。

建議您升級 jackson-databind 套件。

如需有關 jackson-databind 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/jackson-databind

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

遠端主機上安裝的 Primavera Unifier 版本17.12、18.8、19.12 和 20.12 受到 2021 年 7 月 CPU 公告中提及的多個弱點影響。

  - Oracle Primavera Unifier 的 Oracle Spatial and Graph Network Data Model (jackson-databind) 元件中存在 Security-in-Depth 問題。(CVE-2020-36189)

  - Oracle Construction and Engineering 的 Primavera Unifier 產品中的弱點 (元件：Core (Apache PDFbox))。受影響的支援版本是 17.7-17.12、18.8、19.12 和 20.12。攻擊此弱點的難度較低，未經驗證的攻擊者可以登入執行 Primavera Unifier 的基礎結構，以入侵 Primavera Unifier。若要成功攻擊，必須有攻擊者以外之他人的互動。若成功攻擊此弱點，則可能導致可能導致在未經授權的情況下，造成 Primavera Unifier 懸置或經常重複性當機 (完全 DOS)。
    (CVE-2021-27906)

  - Oracle Construction and Engineering 的 Primavera Unifier 產品中的弱點 (元件：Core UI (dojo))。受影響的支援版本是 17.7-17.12、18.8、19.12 和 20.12。攻擊此弱點的難度較小，經由 HTTP 存取網路的低權限攻擊者可藉此入侵 Primavera Unifier。
    若成功攻擊此弱點，則可能導致在未經授權的情況下更新、插入或刪除某些可存取的 Primavera Unifier 資料。(CVE-2020-5258)

  - Oracle Database Server 的 Oracle Spatial and Graph Network Data Model (jackson-databind) 元件中存在 Security-in-Depth 問題。無法在此產品的內容中惡意利用此弱點。
    (CVE-2020-25649)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

远程主机上安装的 Primavera Unifier 17.12、18.8、19.12 和 20.12 版本受到 2021 年 7 月 CPU 公告中提及的多个漏洞的影响。

  - Oracle Primavera Unifier 的 Oracle Spatial 和 Graph Network Data Model (jackson-databind) 组件中存在 Security-in-Depth 问题。(CVE-2020-36189)

  - Oracle Construction and Engineering 的 Primavera Unifier 产品存在漏洞（组件：Core (Apache PDFbox)）。支持的版本中受影响的是 17.7-17.12、18.8、19.12 和 20.12。可轻松利用的漏洞允许未经身份验证的攻击者登录 Primavera Unifier 执行的基础结构，从而危害 Primavera Unifier。除攻击者以外的他人进行交互是实现成功攻击的必要条件。成功利用此漏洞进行攻击可导致在未经授权的情况下使 Primavera Unifier 挂起或频繁出现崩溃（完整 DOS）。
    (CVE-2021-27906)

  - Oracle Construction and Engineering 的 Primavera Unifier 产品存在漏洞（组件：Core UI (dojo)）。支持的版本中受影响的是 17.7-17.12、18.8、19.12 和 20.12。可轻松利用的漏洞允许低权限攻击者通过 HTTP 进行网络访问，从而危害 Primavera Unifier。
    成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 Primavera Unifier 可访问数据的访问权限。(CVE-2020-5258)

  - Oracle Database Server 的 Oracle Spatial 和 Graph Network Data Model (jackson-databind) 组件中存在 Security-in-Depth 问题。无法在此产品环境中利用此漏洞。
    (CVE-2020-25649)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

Jackson Databind で複数のセキュリティ脆弱性が見つかりました。

CVE-2020-24616

2.9.10.6 より前の FasterXML jackson-databind 2.x において、br.com.anteros.dbcp.AnterosDBCPDataSource (別名: Anteros-DBCP) に関連して、シリアライズガジェットと型付けの間の相互作用が不適切に処理されています。

CVE-2020-24750

2.9.10.6 より前の FasterXML jackson-databind 2.x において、com.pastdev.httpcomponents.configuration.JndiConfiguration に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-25649

FasterXML Jackson Databind に欠陥が見つかり、エンティティ拡張が適切に保護されていませんでした。この欠陥により、XML 外部エンティティ (XXE) 攻撃に対する脆弱性が存在します。この脆弱性が最大の脅威となるのは、データの整合性です。

CVE-2020-35490

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.commons.dbcp2.datasources.PerUserPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-35491

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.commons.dbcp2.datasources.SharedPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-35728

2.9.10.8 より前の FasterXML jackson-databind 2.x において、com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (別名: embedded Xalan in org.glassfish.web/javax.servlet.jsp.jstl) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36179

2.9.10.8 より前の FasterXML jackson-databind 2.x において、oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36180

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36181

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36182

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPD に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36183

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36184

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36185

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36186

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36187

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36188

2.9.10.8 より前の FasterXML jackson-databind 2.x において、com.newrelic.agent.deps.ch.qos.logback.core.db.JNDICS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36189

2.9.10.8 より前の FasterXML jackson-databind 2.x において、com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2021-20190

2.9.10.7 より前の jackson-databind に欠陥が見つかりました。FasterXML は、シリアル化ガジェットと入力の間の相互作用を不適切に処理します。
この脆弱性が最大の脅威となるのは、データの機密性と整合性、ならびにシステムの可用性です。

Debian 9 'Stretch' では、これらの問題はバージョン 2.8.6-1+deb9u9 で修正されています。

お使いの jackson-databind パッケージをアップグレードすることをお勧めます。

jackson-databindの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/jackson-databind

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

远程主机上安装的 Primavera Gateway 17.12.11、18.8.11、19.12.10 和 20.12.0 版本受到 2021 年 7 月 CPU 公告中提及的多个漏洞的影响。

  - Oracle Construction and Engineering 的 Primavera Gateway 产品存在漏洞（组件：Admin (Nimbus JOSE+JWT)）。支持的版本中受影响的是 18.8.0-18.8.11。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Primavera Gateway。成功攻击此漏洞可导致接管 Primavera Gateway。
    (CVE-2019-17195)

  - Oracle Construction and Engineering 的 Primavera Gateway 产品存在漏洞（组件：Admin (Lodash)）。支持的版本中受影响的是 17.12.0-17.12.11、18.8.0-18.8.11、19.12.0-19.12.10 和 20.12.0。难以利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Primavera Gateway。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Primavera Gateway 可访问数据的访问权限，以及在未经授权的情况即可造成 Primavera Gateway 挂起或频繁出现崩溃（完整 DOS）。
    (CVE-2020-8203)

  - Oracle Construction and Engineering 的 Primavera Gateway 产品存在漏洞（组件：Admin (Netty)）。支持的版本中受影响的是 17.12.0-17.12.11、18.8.0-18.8.11 和  19.12.0-19.12.10。
    难以利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Primavera Gateway。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Primavera Gateway 可访问数据的访问权限。
    (CVE-2021-21409)     
  - Oracle Construction and Engineering 的 Primavera Gateway 产品存在漏洞（组件：
    jackson-databind）。(CVE-2020-36189)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

遠端主機上安裝的 Primavera Gateway 版本17.12.11、18.8.11、19.12.10 和 20.12.0 受到 2021 年 7 月 CPU 公告中提及的多個弱點。

  - Oracle Construction and Engineering 的 Primavera Gateway 產品中的弱點 (元件：Admin (Nimbus JOSE+JWT))。受影響的支援版本是 18.8.0-18.8.11。此弱點可輕易攻擊成功，能夠透過 HTTP 存取網路的未經驗證攻擊者可藉以入侵 Primavera Gateway。若成功攻擊此弱點，則可能導致接管 Primavera Gateway。
    (CVE-2019-17195)

  - Oracle Construction and Engineering 的 Primavera Gateway 產品中的弱點 (元件：Admin (Lodash))。受影響的支援版本是 17.12.0-17.12.11、18.8.0-18.8.11、19.12.0-19.12.10 和 20.12.0。攻擊此弱點有一定難度，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Primavera Gateway。若成功攻擊此弱點，則可能導致在未經授權的情況下建立、刪除或修改重要資料或所有可供存取之 Primavera Gateway 資料的存取權，以及未經授權造成 Primavera Gateway 懸置或經常重複性當機 (完全 DOS)。
    (CVE-2020-8203)

  - Oracle Construction and Engineering 的 Primavera Gateway 產品中的弱點 (元件：Admin (Netty))。受影響的支援版本是 17.12.0-17.12.11、18.8.0-18.8.11 和 19.12.0-19.12.10。
    攻擊此弱點有一定難度，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Primavera Gateway。若成功攻擊此弱點，則可能導致在未經授權的情況下建立、刪除或修改重要資料或所有可存取的 Primavera Gateway 資料。
    (CVE-2021-21409)     
  - Oracle Construction and Engineering 的 Primavera Gateway 產品中的弱點 (元件：
    jackson-databind)。(CVE-2020-36189)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 2.9.10.8 より前の FasterXML jackson-databind 2.x ] は、com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource に関連して、シリアル化ガジェットとタイピングの間の相互作用を不適切に処理します。
    (CVE-2020-36189)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートホストにインストールされているPrimavera Gatewayのバージョン17.12.11、18.8.11、19.12.10、20.12.0 は、2021年7月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OracleコンストラクションおよびエンジニアリングのPrimavera Gateway製品の脆弱性（コンポーネント: Admin（Nimbus JOSE + JWT））。サポートされているバージョンで影響を受けるのは、18.8.0-18.8.11です。容易に悪用可能な脆弱性があり、認証されていない攻撃者がHTTPを使用してネットワークにアクセスし、Primavera Gatewayを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera Gatewayの乗っ取りが発生する可能性があります。
    （CVE-2019-17195）

  - OracleコンストラクションおよびエンジニアリングのPrimavera Gateway製品の脆弱性（コンポーネント: Admin（Lodash））。サポートされているバージョンで影響を受けるのは、17.12.0-17.12.11、18.8.0-18.8.11、19.12.0-19.12.10、20.12.0です。悪用が難しい脆弱性により、認証されていない攻撃者がHTTPを使用してネットワークにアクセスし、Primavera Gatewayを侵害する可能性があります。この脆弱性を利用した攻撃が成功すると、重要なデータやPrimavera Gatewayがアクセスできるすべてのデータへの権限のない作成、削除、変更アクセスが引き起こされたり、Primavera Gatewayでハングを引き起こしたり頻繁にクラッシュを繰り返す（完全なDOS）可能性があります。
    （CVE-2020-8203）

  - OracleコンストラクションおよびエンジニアリングのPrimavera Gateway製品の脆弱性（コンポーネント: Admin（Netty））。サポートされているバージョンで影響を受けるのは、17.12.0-17.12.11、18.8.0-18.8.11、19.12.0-19.12.10です。
    悪用が難しい脆弱性により、認証されていない攻撃者がHTTPを使用してネットワークにアクセスし、Primavera Gatewayを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータやPrimavera Gatewayがアクセスできるすべてのデータへの権限のない作成、削除、変更アクセスが引き起こされる可能性があります。
    （CVE-2021-21409）     
  - OracleコンストラクションおよびエンジニアリングのPrimavera Gateway製品の脆弱性（コンポーネント:
    jackson-databind）。（CVE-2020-36189）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

在 Jackson Databind 中发现多个安全漏洞。

CVE-2020-24616

2.9.10.6 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的互动，该漏洞与 br.com.anteros.dbcp.AnterosDBCPDataSource（又称 Anteros-DBCP）相关。

CVE-2020-24750

2.9.10.6 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 com.pastdev.httpcomponents.configuration.JndiConfiguration 相关。

CVE-2020-25649

在 FasterXML Jackson Databind 中发现一个缺陷，即未正确保护实体扩展。此缺陷带来的漏洞可招致 XML 外部实体 (XXE) 攻击。此漏洞最主要的威胁对象是数据完整性。

CVE-2020-35490

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.commons.dbcp2.datasources.PerUserPoolDataSource 相关。

CVE-2020-35491

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.commons.dbcp2.datasources.SharedPoolDataSource 相关。

CVE-2020-35728

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool（又称 org.glassfish.web/javax.servlet.jsp.jstl 中的嵌入式 Xalan）相关。

CVE-2020-36179

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS 相关。

CVE-2020-36180

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS 相关。

CVE-2020-36181

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS 相关。

CVE-2020-36182

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS 相关。

CVE-2020-36183

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool 相关。

CVE-2020-36184

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource 相关。

CVE-2020-36185

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource 相关。

CVE-2020-36186

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource 相关。

CVE-2020-36187

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource 相关。

CVE-2020-36188

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 com.newrelic.agent.deps.ch.qos.logback.core.db.JNDICS 相关。

CVE-2020-36189

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS 相关。

CVE-2021-20190

在 2.9.10.7 之前的 jackson-databind 中发现一个缺陷。FasterXML 未正确处理序列化小工具和输入之间的交互。
此漏洞最大的威胁在于数据机密性和完整性，以及系统可用性。

对于 Debian 9 Stretch，已在版本 2.8.6-1+deb9u9 中修复这些问题。

建议您升级 jackson-databind 程序包。

如需了解 jackson-databind 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/jackson-databind

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 2.9.10.8 之前的 FasterXML jackson-databind 2.x ] 未正确处理序列化小工具和键入之间的交互其与 com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource 有关。
    (CVE-2020-36189)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

遠端主機上安裝的 Splunk 版本低於測試版本。因此，它會受到 SVD-2024-0303 公告中提及的一個弱點影響。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

リモートホストにインストールされている Splunk のバージョンは、テスト済みバージョンより前です。したがって、SVD-2024-0303 のアドバイザリに記載されている脆弱性の影響を受けます。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

远程主机上安装的 Splunk 版本低于测试版本。因此，它受到 SVD-2024-0303 公告中提及的一个漏洞影响。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
151974	Oracle Primavera Gateway (Jul 2021 CPU)	Nessus	CGI abuses	2021/7/22	2023/12/7	critical
151973	Oracle Primavera Unifier (Jul 2021 CPU)	Nessus	CGI abuses	2021/7/22	2023/12/7	high
194923	Splunk Enterprise 9.0.0 < 9.0.9, 9.1.0 < 9.1.4, 9.2.0 < 9.2.1 (SVD-2024-0303)	Nessus	CGI abuses	2024/5/2	2025/5/12	critical
149019	Debian DLA-2638-1 : jackson-databind security update	Nessus	Debian Local Security Checks	2021/4/27	2024/1/12	high
251721	Linux Distros Unpatched Vulnerability : CVE-2020-36189	Nessus	Misc.	2025/8/19	2025/8/19	high
151973	Oracle Primavera Unifier（2021年7月CPU）	Nessus	CGI abuses	2021/7/22	2023/12/7	high
251721	Linux Distros 未修補的弱點：CVE-2020-36189	Nessus	Misc.	2025/8/19	2025/8/19	high
149019	Debian DLA-2638-1：jackson-databind 安全性更新	Nessus	Debian Local Security Checks	2021/4/27	2024/1/12	high
151973	Oracle Primavera Unifier (2021 年 7 月 CPU)	Nessus	CGI abuses	2021/7/22	2023/12/7	high
151973	Oracle Primavera Unifier（2021 年 7 月 CPU）	Nessus	CGI abuses	2021/7/22	2023/12/7	high
149019	DebianDLA-2638-1：jackson-databind セキュリティ更新	Nessus	Debian Local Security Checks	2021/4/27	2024/1/12	high
151974	Oracle Primavera Gateway（2021 年 7 月 CPU）	Nessus	CGI abuses	2021/7/22	2023/12/7	critical
151974	Oracle Primavera Gateway (2021 年 7 月 CPU)	Nessus	CGI abuses	2021/7/22	2023/12/7	critical
251721	Linux Distros のパッチ未適用の脆弱性: CVE-2020-36189	Nessus	Misc.	2025/8/19	2025/8/19	high
151974	Oracle Primavera Gateway（2021年7月CPU）	Nessus	CGI abuses	2021/7/22	2023/12/7	critical
149019	Debian DLA-2638-1：jackson-databind 安全更新	Nessus	Debian Local Security Checks	2021/4/27	2024/1/12	high
251721	Linux Distros 未修补的漏洞：CVE-2020-36189	Nessus	Misc.	2025/8/19	2025/8/19	high
194923	Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0303)	Nessus	CGI abuses	2024/5/2	2025/5/12	critical
194923	Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0303)	Nessus	CGI abuses	2024/5/2	2025/5/12	critical
194923	Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0303)	Nessus	CGI abuses	2024/5/2	2025/5/12	critical

检测

插件搜索

critical

high

critical

high

high

high

high

high

high

high

high

critical

critical

high

critical

high

high

critical

critical

critical