jackson-databindソースパッケージについて次のCVEが報告されました:

CVE-2020-10968

2.9.10.4より前のFasterXML jackson-databind 2.xにおいて、org.aoju.bus.proxy.provider.remoting.RmiProvider（別名bus-proxy）に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-10969

2.9.10.4より前のFasterXML jackson-databind 2.xにおいて、javax.swing.JEditorPaneに関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-11111

2.9.10.4より前のFasterXML jackson-databind 2.xにおいて、org.apache.activemq.*（別名activemq-jms、activemq-core、activemq-pool、およびactivemq-pool-jms）に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-11112

2.9.10.4より前のFasterXML jackson-databind 2.xにおいて、org.apache.commons.proxy.provider.remoting.RmiProvider（別名apache/commons-proxy）に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-11113

2.9.10.4より前のFasterXML jackson-databind 2.xにおいて、jorg.apache.openjpa.ee.WASRegistryManagedRuntime（別名openjpa）に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-11619

2.9.10.4より前のFasterXML jackson-databind 2.xにおいて、org.springframework.aop.config.MethodLocatingFactoryBean（別名spring-aop）に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-11620

2.9.10.4より前のFasterXML jackson-databind 2.xにおいて、org.apache.commons.jelly.impl.Embedded（別名commons-jelly）に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

Debian 8「Jessie」では、これらの問題はバージョン2.4.2-2+deb8u14で修正されました。

お使いのjackson-databindパッケージをアップグレードすることをお勧めます。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

リモートの Redhat Enterprise Linux 6 / 8 ホストにインストールされているパッケージは、RHSA-2020: 3817アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - jackson-databind: org.apache.openjpa.ee.WASRegistryManagedRuntimeのシリアル化ガジェット（CVE-2020-11113）

  - wildfly: 一部のEJBトランザクションオブジェクトが蓄積され、サービス拒否を引き起こす可能性があります（CVE-2020-14297）

  - wildfly: 応答の受信後にEJB SessionOpenInvocationsが適切に削除されないためにサービス拒否が引き起こされる可能性があります（CVE-2020-14307）

  - log4j: SMTPアペンダーのホスト不一致を伴う証明書の不適切な検証（CVE-2020-9488）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Ubuntu 16.04ESM ホストにインストールされているパッケージは、USN-4813-1のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - FasterXML jackson-databind 2.0.0 から 2.9.5 に、問題が見つかりました。Jackson のデフォルトの型付けを iBatis の gadget クラスとともに使用すると、コンテンツの抜き取りが可能になります。2.7.9.4、2.8.11.2、および 2.9.6 で修正されました。(CVE-2018-11307)

  - FasterXML jackson-databind、2.7.9.42.8.11.2、2.9.6に問題が見つかりました。デフォルトの型付けが (グローバルまたは特定のプロパティに対して) 有効化されており、サービスのクラスパスに (Jodd フレームワークのデータベースアクセス用) Jodd-db jar がある場合、攻撃者は、アクセスする LDAP サービスを追加し、サービスに悪意のあるペイロードを実行させることが可能です。(CVE-2018-12022)

  - FasterXML jackson-databind、2.7.9.42.8.11.2、2.9.6に問題が見つかりました。デフォルトの型付けが (グローバルまたは特定のプロパティに対して) 有効化されており、サービスのクラスパスに Oracle JDBC jar がある場合、攻撃者は、アクセスする LDAP サービスを追加し、サービスに悪意のあるペイロードを実行させることが可能です。(CVE-2018-12023)

  - 2.9.7 より前の FasterXML jackson-databind 2.x では、slf4j-ext クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2018-14718)

  - 2.9.7 より前の FasterXML jackson-databind 2.x では、blaze-ds-opt クラスと blaze-ds-core クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が任意のコードを実行する可能性があります。
    (CVE-2018-14719)

  - 2.9.7 より前の FasterXML jackson-databind 2.x では、指定していない JDK クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用して攻撃者が外部 XML エンティティ (XXE) 攻撃を実行する可能性があります。
    (CVE-2018-14720)

  - 2.9.7 より前の FasterXML jackson-databind 2.x では、axis2-jaxws クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者がサーバーサイドリクエストフォージェリ (SSRF) を実行する可能性があります。(CVE-2018-14721)

  - 2.9.8 より前の FasterXML jackson-databind 2.x では、axis2-transport-jms クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が詳細不明な影響を及ぼす可能性があります。(CVE-2018-19360)

  - 2.9.8 より前の FasterXML jackson-databind 2.x では、openjpa クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が詳細不明な影響を及ぼす可能性があります。(CVE-2018-19361)

  - 2.9.8 より前の FasterXML jackson-databind 2.x では、jboss-common-core クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が詳細不明な影響を及ぼす可能性があります。(CVE-2018-19362)

  - 2.9.9 以前の FasterXML jackson-databind 2.x に、多態的型付けの問題が見つかりました。デフォルトの型付け (グローバルにまたは特定のプロパティに対して) が、外部に公開されているJSONエンドポイントに有効になっていて、サービスにはクラスパスのmysql-connector-java jar (8.0.14以前) があり、攻撃者が被害者の到達可能な細工されたMySQLサーバーをホストできる場合、攻撃者は細工されたJSONメッセージを送信して、サーバー上で任意のローカルファイルを読み取る可能性があります。これは、com.mysql.cj.jdbc.admin.MiniAdmin が検証されないことが原因です。(CVE-2019-12086)

  - 2.9.9.1 より前の 2.x の FasterXML jackson-databind では、logback-core クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用して攻撃者がさまざまな影響を与える可能性があります。クラスパスの内容によっては、リモートコードの実行が可能になる場合があります。(CVE-2019-12384)

  - FasterXML jackson-databind 2.x から 2.9.9 に、多態的型付けの問題が見つかりました。デフォルトの型付け (グローバルでまたは特定のプロパティに対して) が、外部に公開されている JSON エンドポイントに有効になっていて、サービスのクラスパスに JDOM 1.x または 2.x がある場合、攻撃者は細工された JSON メッセージを送信して、サーバー上で任意のローカルファイルを読み取る可能性があります。(CVE-2019-12814)

  - 2.9.9.2 より前の FasterXML jackson-databind の SubTypeValidator.java が、ehcache が使用される際に (net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup のため) デフォルトの型付けを不適切に処理し、リモートコードの実行を引き起こします。(CVE-2019-14379) 

  - 2.9.9.2 以前の FasterXML jackson-databind 2.x に、多態的型付けの問題が見つかりました。これは、外部に公開されている JSON エンドポイントに対してデフォルトの型付けが (グローバルにまたは特定のプロパティに対して) 有効になっており、サービスのクラスパスに logback jar がある場合に発生します。(CVE-2019-14439)

  - 2.9.10 以前の FasterXML jackson-databind に、多態的型付けの問題が見つかりました。これは com.zaxxer.hikari.HikariConfig に関連しています。(CVE-2019-14540)

  - 2.9.10 以前の FasterXML jackson-databind に、多態的型付けの問題が見つかりました。これは com.zaxxer.hikari.HikariDataSource に関連しています。これは、CVE-2019-14540とは異なる脆弱性です。
    (CVE-2019-16335)

  - FasterXML jackson-databind 2.0.0 から 2.9.10 に、多態的型付けの問題が見つかりました。外部に公開されている JSON エンドポイントに対して、デフォルトの型付けが (グローバルに、または特定のプロパティに対して) 有効化されており、サービスのクラスパスに commons-dbcp (1.4) の jar がある場合、攻撃者は、アクセスできる RMI サービスエンドポイントを見つけることができれば、サービスに悪意のあるペイロードを実行させることが可能です。この問題が存在するのは、org.apache.commons.dbcp.datasources.SharedPoolDataSource および org.apache.commons.dbcp.datasources.PerUserPoolDataSource の処理が不適切なためです。(CVE-2019-16942)

  - FasterXML jackson-databind 2.0.0 から 2.9.10 に、多態的型付けの問題が見つかりました。外部に公開されているJSONエンドポイントに対して、デフォルトの型付けが (グローバルに、または特定のプロパティに対して) 有効化されており、サービスのクラスパスにp6spy (3.8.6) のjarがある場合、攻撃者は、アクセスできるRMIサービスエンドポイントを見つけることができれば、サービスに悪意のあるペイロードを実行させることが可能です。この問題は、com.p6spy.engine.spy.P6DataSource の誤った処理に起因します。(CVE-2019-16943)

  - 2.9.10 以前の FasterXML jackson-databind に、多態的型付けの問題が見つかりました。これは、net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup に関連しています。(CVE-2019-17267)

  - FasterXML jackson-databind 2.0.0 から 2.9.10 に、多態的型付けの問題が見つかりました。外部に公開されている JSON エンドポイントに対して、デフォルトの型付けが (グローバルに、または特定のプロパティに対して) 有効化されており、サービスのクラスパスに apache-log4j-extra (バージョン 1.2.x) の jar がある場合、攻撃者は、アクセスできる JNDI サービスを追加し、サービスに悪意のあるペイロードを実行させることが可能です。(CVE-2019-17531)

  - 2.9.10.2 より前の FasterXML jackson-databind 2.x では、特定の net.sf.ehcache ブロッキングがありません。(CVE-2019-20330)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory (別名 aries.transaction.jms) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-10672)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、com.caucho.config.types.ResourceRef (別名 caucho-quercus) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-10673)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.aoju.bus.proxy.provider.remoting.RmiProvider (別名 bus-proxy) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-10968)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、javax.swing.JEditorPane に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-10969)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.activemq.* (別名 activemq-jms、activemq-core、activemq-pool、activemq-pool-jms) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-11111)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.commons.proxy.provider.remoting.RmiProvider (別名 apache/commons-proxy) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
    (CVE-2020-11112)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、jorg.apache.openjpa.ee.WASRegistryManagedRuntime (別名 openjpa) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-11113)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.springframework.aop.config.MethodLocatingFactoryBean (別名 spring-aop) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
    (CVE-2020-11619)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.commons.jelly.impl.Embedded (別名 commons-jelly) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-11620)

  - 2.9.10.5 より前の FasterXML jackson-databind 2.x において、oadd.org.apache.xalan.lib.sql.JNDIConnectionPool (別名 apache/drill) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
    (CVE-2020-14060)

  - 2.9.10.5 より前の FasterXML jackson-databind 2.x では、oracle.jms.AQjmsQueueConnectionFactory,、oracle.jms.AQjmsXATopicConnectionFactory、oracle.jms.AQjmsTopicConnectionFactory、oracle.jms.AQjmsXAQueueConnectionFactory、および oracle.jms.AQjmsXAConnectionFactory (別名 weblogic/oracle-aqjms) に関連してシリアル化ガジェットとタイピングの間の相互作用が不適切に処理されます。(CVE-2020-14061)

  - 2.9.10.5 より前の FasterXML jackson-databind 2.x において、com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool (別名 xalan2) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
    (CVE-2020-14062)

  - 2.9.10.5 より前の FasterXML jackson-databind 2.x において、org.jsecurity.realm.jndi.JndiRealmFactory (別名 org.jsecurity) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-14195)

  - FasterXML jackson-databind 2.0.0 から 2.9.10.2 には、org.apache.xbean.propertyeditor.JndiConverter で実証されているように、特定の xbean-reflect/JNDI ブロッキングがありません。(CVE-2020-8840)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (別名シェーディング hikari-config) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
    (CVE-2020-9546)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (別名 ibatis-sqlmap) に関連して、シリアライズガジェットと型指定の間の相互作が不適切に処理されています。
    (CVE-2020-9547)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、br.com.anteros.dbcp.AnterosDBCPConfig (別名 anteros-core) に関連して、シリアライズガジェットと型付けの間の相互作用が不適切に処理されています。(CVE-2020-9548)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

自己報告されたバージョン番号によると、リモートのWebサーバーで実行されているOracle Primavera Unifierのインストールは、16.1.x、16.2.16.2より前の16.2.x、17.7.xから17.12.11.4より前の17.12.x、18.8.17より前の18.8.x、19.12.7より前の19.12.xです。そのため、以下を含む複数の脆弱性による影響を受けます:

  - Oracleコンストラクションおよびエンジニアリングの Primavera Unifier 製品の脆弱性（コンポーネント: プラットフォーム（jackson-databind））。サポートされているバージョンで影響を受けるのは、16.1、 16.2、 17.7-17.12、 18.8、および 19.12 です。
    容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera Unifier の乗っ取りが発生する可能性があります。（CVE-2020-9546）

  - Oracleコンストラクションおよびエンジニアリングの Primavera Unifier 製品の脆弱性（コンポーネント: Core（Apache Ant））。サポートされているバージョンで影響を受けるのは、16.1、 16.2、 17.7-17.12、 18.8、および 19.12 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Primavera Unifier がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Primavera Unifier がアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります（CVE-2020-1945）。

  - Oracleコンストラクションおよびエンジニアリングの Primavera Unifier 製品の脆弱性（コンポーネント: Mobile App）。影響を受けるサポート対象のバージョンは、20.6より前です。悪用が難しい脆弱性ですが、認証されていない攻撃者が HTTPS を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。この脆弱性に対する攻撃が成功すると、重要なデータへの不正アクセス、Primavera Unifier がアクセスできるデータへのフルアクセス、Primavera Unifier がアクセスできる一部のデータへの権限のない更新、アクセスの挿入または削除が引き起こされる可能性があります。
    （CVE-2020-14618）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている Splunk のバージョンは、テスト済みバージョンより前です。したがって、SVD-2024-0303 のアドバイザリに記載されている脆弱性の影響を受けます。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2020: 1523 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - jackson-databind: org.aoju.bus.proxy.provider.*.RmiProviderでのシリアル化ガジェット（CVE-2020-10968）

  - jackson-databind: javax.swing.JEditorPaneでのシリアル化ガジェット（CVE-2020-10969）

  - jackson-databind: org.apache.activemq.jms.pool.XaPooledConnectionFactory のシリアル化ガジェット (CVE-2020-11111)

  - jackson-databind: org.apache.commons.proxy.provider.remoting.RmiProvider のシリアル化ガジェット (CVE-2020-11112)

  - jackson-databind: org.apache.openjpa.ee.WASRegistryManagedRuntimeのシリアル化ガジェット（CVE-2020-11113）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、jorg.apache.openjpa.ee.WASRegistryManagedRuntime (別名 openjpa) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-11113)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
135722	Debian DLA-2179-1 : jackson-databindセキュリティ更新プログラム	Nessus	Debian Local Security Checks	2020/4/20	2024/3/15	high
140747	RHEL 6 / 8 : AMQクライアント 2.8.0リリース（重要度中）（RHSA-2020: 3817)	Nessus	Red Hat Local Security Checks	2020/9/23	2024/11/7	high
183541	Ubuntu 16.04 ESM: Jackson Databind の脆弱性 (USN-4813-1)	Nessus	Ubuntu Local Security Checks	2023/10/20	2024/8/28	critical
138508	Oracle Primavera Unifier の複数の脆弱性（2019 年 7 月 CPU）	Nessus	CGI abuses	2020/7/15	2024/3/1	critical
194923	Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0303)	Nessus	CGI abuses	2024/5/2	2025/5/12	critical
170300	RHEL 7: rh-maven35-jackson-databind (RHSA-2020: 1523)	Nessus	Red Hat Local Security Checks	2023/1/23	2024/11/7	high
222961	Linux Distros のパッチ未適用の脆弱性: CVE-2020-11113	Nessus	Misc.	2025/3/4	2025/9/10	high

検出

プラグインの検索

high

high

critical

critical

critical

high

high