The versions of Oracle Siebel CRM installed on the remote host are affected by multiple vulnerabilities as referenced in the July 2021 CPU advisory.

  - Vulnerability in the Siebel Core - Server Framework product of Oracle Siebel CRM (component: Services     (jackson-databind)). Supported versions that are affected are 21.5 and Prior. Difficult to exploit     vulnerability allows unauthenticated attacker with network access via HTTP to compromise Siebel Core -     Server Framework. Successful attacks of this vulnerability can result in takeover of Siebel Core - Server     Framework. (CVE-2020-24750)

  - Vulnerability in the Siebel Core - Automation product of Oracle Siebel CRM (component: Test Automation     (Eclipse Jetty)). Supported versions that are affected are 21.5 and Prior. Easily exploitable     vulnerability allows low privileged attacker with logon to the infrastructure where Siebel Core -     Automation executes to compromise Siebel Core - Automation. Successful attacks of this vulnerability can     result in takeover of Siebel Core - Automation. (CVE-2020-27216)

  - Vulnerability in the Siebel Core - Server Framework product of Oracle Siebel CRM (component: Cloud Gateway     (Zookeeper)). Supported versions that are affected are 21.5 and Prior. Easily exploitable vulnerability     allows unauthenticated attacker with network access via HTTP to compromise Siebel Core - Server Framework.
    Successful attacks of this vulnerability can result in unauthorized ability to cause a hang or frequently     repeatable crash (complete DOS) of Siebel Core - Server Framework. (CVE-2017-5637)

  - Vulnerability in the Siebel Apps - Marketing product of Oracle Siebel CRM (component: Email Marketing     Stand-Alone). Supported versions that are affected are 21.5 and Prior. Easily exploitable vulnerability     allows unauthenticated attacker with network access via HTTP to compromise Siebel Apps - Marketing.
    Successful attacks require human interaction from a person other than the attacker and while the     vulnerability is in Siebel Apps - Marketing, attacks may significantly impact additional products.
    Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to     some of Siebel Apps - Marketing accessible data as well as unauthorized read access to a subset of Siebel     Apps - Marketing accessible data. (CVE-2021-2338)

  - Vulnerability in the Siebel CRM product of Oracle Siebel CRM (component: Siebel Core - Server     Infrastructure). Supported versions that are affected are 21.5 and Prior. Difficult to exploit     vulnerability allows unauthenticated attacker with network access via HTTPS to compromise Siebel CRM.
    Successful attacks of this vulnerability can result in unauthorized access to critical data or complete     access to all Siebel CRM accessible data. (CVE-2021-2368)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

Multiple security vulnerabilities were found in Jackson Databind.

CVE-2020-24616

FasterXML jackson-databind 2.x before 2.9.10.6 mishandles the interaction between serialization gadgets and typing, related to br.com.anteros.dbcp.AnterosDBCPDataSource (aka Anteros-DBCP).

CVE-2020-24750

FasterXML jackson-databind 2.x before 2.9.10.6 mishandles the interaction between serialization gadgets and typing, related to com.pastdev.httpcomponents.configuration.JndiConfiguration.

CVE-2020-25649

A flaw was found in FasterXML Jackson Databind, where it did not have entity expansion secured properly. This flaw allows vulnerability to XML external entity (XXE) attacks. The highest threat from this vulnerability is data integrity.

CVE-2020-35490

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.

CVE-2020-35491

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.commons.dbcp2.datasources.SharedPoolDataSource.

CVE-2020-35728

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (aka embedded Xalan in org.glassfish.web/javax.servlet.jsp.jstl).

CVE-2020-36179

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS.

CVE-2020-36180

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS.

CVE-2020-36181

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS.

CVE-2020-36182

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.

CVE-2020-36183

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool.

CVE-2020-36184

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource.

CVE-2020-36185

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource.

CVE-2020-36186

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource.

CVE-2020-36187

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource.

CVE-2020-36188

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to com.newrelic.agent.deps.ch.qos.logback.core.db.JNDICS.

CVE-2020-36189

FasterXML jackson-databind 2.x before 2.9.10.8 mishandles the interaction between serialization gadgets and typing, related to com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS.

CVE-2021-20190

A flaw was found in jackson-databind before 2.9.10.7. FasterXML mishandles the interaction between serialization gadgets and typing.
The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.

For Debian 9 stretch, these problems have been fixed in version 2.8.6-1+deb9u9.

We recommend that you upgrade your jackson-databind packages.

For the detailed security status of jackson-databind please refer to its security tracker page at:
https://security-tracker.debian.org/tracker/jackson-databind

NOTE: Tenable Network Security has extracted the preceding description block directly from the DLA security advisory. Tenable has attempted to automatically clean and format it as much as possible without introducing additional issues.

The remote Redhat Enterprise Linux 7 host has packages installed that are affected by a vulnerability as referenced in the RHSA-2020:4173 advisory.

    The jackson-databind package provides general data-binding functionality for Jackson, which works on top     of Jackson core streaming API.

    Security Fix(es):

    * jackson-databind: Serialization gadgets in com.pastdev.httpcomponents.configuration.JndiConfiguration     (CVE-2020-24750)

    For more details about the security issue(s), including the impact, a CVSS score, acknowledgments, and     other related information, refer to the CVE page(s) listed in the References section.

Tenable has extracted the preceding description block directly from the Red Hat Enterprise Linux security advisory.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The version of Splunk installed on the remote host is prior to tested version. It is, therefore, affected by a vulnerability as referenced in the SVD-2024-0303 advisory.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

Jackson Databind で複数のセキュリティ脆弱性が見つかりました。

CVE-2020-24616

2.9.10.6 より前の FasterXML jackson-databind 2.x において、br.com.anteros.dbcp.AnterosDBCPDataSource (別名: Anteros-DBCP) に関連して、シリアライズガジェットと型付けの間の相互作用が不適切に処理されています。

CVE-2020-24750

2.9.10.6 より前の FasterXML jackson-databind 2.x において、com.pastdev.httpcomponents.configuration.JndiConfiguration に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-25649

FasterXML Jackson Databind に欠陥が見つかり、エンティティ拡張が適切に保護されていませんでした。この欠陥により、XML 外部エンティティ (XXE) 攻撃に対する脆弱性が存在します。この脆弱性が最大の脅威となるのは、データの整合性です。

CVE-2020-35490

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.commons.dbcp2.datasources.PerUserPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-35491

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.commons.dbcp2.datasources.SharedPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-35728

2.9.10.8 より前の FasterXML jackson-databind 2.x において、com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (別名: embedded Xalan in org.glassfish.web/javax.servlet.jsp.jstl) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36179

2.9.10.8 より前の FasterXML jackson-databind 2.x において、oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36180

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36181

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36182

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPD に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36183

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36184

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36185

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36186

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36187

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36188

2.9.10.8 より前の FasterXML jackson-databind 2.x において、com.newrelic.agent.deps.ch.qos.logback.core.db.JNDICS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36189

2.9.10.8 より前の FasterXML jackson-databind 2.x において、com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2021-20190

2.9.10.7 より前の jackson-databind に欠陥が見つかりました。FasterXML は、シリアル化ガジェットと入力の間の相互作用を不適切に処理します。
この脆弱性が最大の脅威となるのは、データの機密性と整合性、ならびにシステムの可用性です。

Debian 9 'Stretch' では、これらの問題はバージョン 2.8.6-1+deb9u9 で修正されています。

お使いの jackson-databind パッケージをアップグレードすることをお勧めます。

jackson-databindの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/jackson-databind

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

リモートの Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2020: 4173 のアドバイザリに記載されている脆弱性の影響を受けます。

  - jackson-databind: com.pastdev.httpcomponents.configuration.JndiConfiguration のシリアル化ガジェット (CVE-2020-24750)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

在 Jackson Databind 中發現多個安全性弱點。

CVE-2020-24616

FasterXML jackson-databind 2.9.10.6 之前的2.x 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 br.com.anteros.dbcp.AnterosDBCPDataSource (即 Anteros-DBCP) 相關。

CVE-2020-24750

FasterXML jackson-databind 2.9.10.6 之前的2.x 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 com.pastdev.httpcomponents.configuration.JndiConfiguration 相關。

CVE-2020-25649

在 FasterXML Jackson Databind 中發現一個瑕疵，其未正確保護實體擴充。攻擊者可利用此瑕疵發動 XML 外部實體 (XXE) 攻擊。此弱點對資料完整性的威脅最大。

CVE-2020-35490

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.commons.dbcp2.datasources.PerUserPoolDataSource 有關。

CVE-2020-35491

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.commons.dbcp2.datasources.SharedPoolDataSource 有關。

CVE-2020-35728

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題涉及 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (即 org.glassfish.web/javax.servlet.jsp.jstl 中的內嵌 Xalan)。

CVE-2020-36179

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS 有關。

CVE-2020-36180

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS 有關。

CVE-2020-36181

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS 有關。

CVE-2020-36182

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS 有關。

CVE-2020-36183

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題涉及 org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool。

CVE-2020-36184

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource 有關。

CVE-2020-36185

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource 有關。

CVE-2020-36186

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource 有關。

CVE-2020-36187

FasterXML jackson-databind 2.x 版的 2.9.10.8 之前版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource 有關。

CVE-2020-36188

FasterXML jackson-databind 2.9.10.8 之前的2.x 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 com.newrelic.agent.deps.ch.qos.logback.core.db.JNDICS 相關。

CVE-2020-36189

FasterXML jackson-databind 2.9.10.8 之前的2.x 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS 相關。

CVE-2021-20190

在 jackson-databind 2.9.10.7 之前版本中發現一個缺陷。FasterXML 未正確處理序列化小工具和輸入之間的互動。
此弱點對於資料的機密性和完整性以及系統可用性威脅最大。

針對 Debian 9 Stretch，已在 2.8.6-1+deb9u9 版本中修正這些問題。

建議您升級 jackson-databind 套件。

如需有關 jackson-databind 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/jackson-databind

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2020: 4173 公告中提及的多個弱點影響。

  - jackson-databind：com.pastdev.httpcomponents.configuration.JndiConfiguration 中的序列化小工具 (CVE-2020-24750)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

远程主机上安装的 Splunk 版本低于测试版本。因此，它受到 SVD-2024-0303 公告中提及的一个漏洞影响。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2020: 4173 公告中提及的多个漏洞影响。

  - jackson-databind：com.pastdev.httpcomponents.configuration.JndiConfiguration 中的序列化小工具 (CVE-2020-24750)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

在 Jackson Databind 中发现多个安全漏洞。

CVE-2020-24616

2.9.10.6 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的互动，该漏洞与 br.com.anteros.dbcp.AnterosDBCPDataSource（又称 Anteros-DBCP）相关。

CVE-2020-24750

2.9.10.6 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 com.pastdev.httpcomponents.configuration.JndiConfiguration 相关。

CVE-2020-25649

在 FasterXML Jackson Databind 中发现一个缺陷，即未正确保护实体扩展。此缺陷带来的漏洞可招致 XML 外部实体 (XXE) 攻击。此漏洞最主要的威胁对象是数据完整性。

CVE-2020-35490

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.commons.dbcp2.datasources.PerUserPoolDataSource 相关。

CVE-2020-35491

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.commons.dbcp2.datasources.SharedPoolDataSource 相关。

CVE-2020-35728

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool（又称 org.glassfish.web/javax.servlet.jsp.jstl 中的嵌入式 Xalan）相关。

CVE-2020-36179

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS 相关。

CVE-2020-36180

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS 相关。

CVE-2020-36181

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS 相关。

CVE-2020-36182

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS 相关。

CVE-2020-36183

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool 相关。

CVE-2020-36184

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource 相关。

CVE-2020-36185

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource 相关。

CVE-2020-36186

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource 相关。

CVE-2020-36187

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource 相关。

CVE-2020-36188

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 com.newrelic.agent.deps.ch.qos.logback.core.db.JNDICS 相关。

CVE-2020-36189

2.9.10.8 之前的 FasterXML jackson-databind 2.x 未正确处理序列化小工具与类型化之间的交互，该漏洞与 com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS 相关。

CVE-2021-20190

在 2.9.10.7 之前的 jackson-databind 中发现一个缺陷。FasterXML 未正确处理序列化小工具和输入之间的交互。
此漏洞最大的威胁在于数据机密性和完整性，以及系统可用性。

对于 Debian 9 Stretch，已在版本 2.8.6-1+deb9u9 中修复这些问题。

建议您升级 jackson-databind 程序包。

如需了解 jackson-databind 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/jackson-databind

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

遠端主機上安裝的 Splunk 版本低於測試版本。因此，它會受到 SVD-2024-0303 公告中提及的一個弱點影響。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

リモートホストにインストールされている Splunk のバージョンは、テスト済みバージョンより前です。したがって、SVD-2024-0303 のアドバイザリに記載されている脆弱性の影響を受けます。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	Name	Product	Family	Published	Updated	Severity
212428	Oracle Siebel Server (July 2021 CPU)	Nessus	Misc.	12/11/2024	12/12/2024	high
149019	Debian DLA-2638-1 : jackson-databind security update	Nessus	Debian Local Security Checks	4/27/2021	1/12/2024	high
170349	RHEL 7 : rh-maven35-jackson-databind (RHSA-2020:4173)	Nessus	Red Hat Local Security Checks	1/23/2023	11/7/2024	high
194923	Splunk Enterprise 9.0.0 < 9.0.9, 9.1.0 < 9.1.4, 9.2.0 < 9.2.1 (SVD-2024-0303)	Nessus	CGI abuses	5/2/2024	5/12/2025	critical
149019	DebianDLA-2638-1：jackson-databind セキュリティ更新	Nessus	Debian Local Security Checks	4/27/2021	1/12/2024	high
170349	RHEL 7: rh-maven35-jackson-databind (RHSA-2020: 4173)	Nessus	Red Hat Local Security Checks	1/23/2023	11/7/2024	high
149019	Debian DLA-2638-1：jackson-databind 安全性更新	Nessus	Debian Local Security Checks	4/27/2021	1/12/2024	high
170349	RHEL 7：rh-maven35-jackson-databind (RHSA-2020: 4173)	Nessus	Red Hat Local Security Checks	1/23/2023	11/7/2024	high
194923	Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0303)	Nessus	CGI abuses	5/2/2024	5/12/2025	critical
170349	RHEL 7：rh-maven35-jackson-databind (RHSA-2020: 4173)	Nessus	Red Hat Local Security Checks	1/23/2023	11/7/2024	high
149019	Debian DLA-2638-1：jackson-databind 安全更新	Nessus	Debian Local Security Checks	4/27/2021	1/12/2024	high
194923	Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0303)	Nessus	CGI abuses	5/2/2024	5/12/2025	critical
194923	Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0303)	Nessus	CGI abuses	5/2/2024	5/12/2025	critical

Detections

Analytics

Plugins Search

high

high

high

critical

high

high

high

high

critical

high

high

critical

critical