Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在 之前的 jackson-databind 中发现缺陷 2.9.10.7。FasterXML 未正确处理序列化小工具和输入之间的交互。此漏洞最大的威胁在于数据机密性和完整性，以及系统可用性。(CVE-2021-20190)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程主机上安装的 Splunk 版本低于测试版本。因此，它受到 SVD-2024-0303 公告中提及的一个漏洞影响。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

在 Jackson Databind 中发现多个安全漏洞。

CVE-2020-24616

2.9.10.6 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的互动，该漏洞与 br.com.anteros.dbcp.AnterosDBCPDataSource（又称 Anteros-DBCP）相关。

CVE-2020-24750

2.9.10.6 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 com.pastdev.httpcomponents.configuration.JndiConfiguration 相关。

CVE-2020-25649

在 FasterXML Jackson Databind 中发现一个缺陷，即未正确保护实体扩展。此缺陷带来的漏洞可招致 XML 外部实体 (XXE) 攻击。此漏洞最主要的威胁对象是数据完整性。

CVE-2020-35490

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.commons.dbcp2.datasources.PerUserPoolDataSource 相关。

CVE-2020-35491

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.commons.dbcp2.datasources.SharedPoolDataSource 相关。

CVE-2020-35728

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool（又称 org.glassfish.web/javax.servlet.jsp.jstl 中的嵌入式 Xalan）相关。

CVE-2020-36179

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS 相关。

CVE-2020-36180

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS 相关。

CVE-2020-36181

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS 相关。

CVE-2020-36182

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS 相关。

CVE-2020-36183

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool 相关。

CVE-2020-36184

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource 相关。

CVE-2020-36185

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource 相关。

CVE-2020-36186

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource 相关。

CVE-2020-36187

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource 相关。

CVE-2020-36188

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 com.newrelic.agent.deps.ch.qos.logback.core.db.JNDICS 相关。

CVE-2020-36189

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS 相关。

CVE-2021-20190

在 2.9.10.7 之前的 jackson-databind 中发现一个缺陷。FasterXML 未正确处理序列化小工具和输入之间的交互。
此漏洞最大的威胁在于数据机密性和完整性，以及系统可用性。

对于 Debian 9 Stretch，已在版本 2.8.6-1+deb9u9 中修复这些问题。

建议您升级 jackson-databind 程序包。

如需了解 jackson-databind 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/jackson-databind

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
251648	Linux Distros 未修补的漏洞：CVE-2021-20190	Nessus	Misc.	2025/8/18	2025/8/18	high
194923	Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0303)	Nessus	CGI abuses	2024/5/2	2025/5/12	critical
149019	Debian DLA-2638-1：jackson-databind 安全更新	Nessus	Debian Local Security Checks	2021/4/27	2024/1/12	high

检测

插件搜索

high

critical

high