Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 2.9.10.8 より前の FasterXML jackson-databind 2.x ] は、com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPoolorg.glassfish.web の組み込み Xalan に関連して、シリアル化ガジェットと型付けの間の相互作用を不適切に処理します。 /javax.servlet.jsp.jstl。CVE-2020-35728

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

Jackson Databind で複数のセキュリティ脆弱性が見つかりました。

CVE-2020-24616

2.9.10.6 より前の FasterXML jackson-databind 2.x において、br.com.anteros.dbcp.AnterosDBCPDataSource (別名: Anteros-DBCP) に関連して、シリアライズガジェットと型付けの間の相互作用が不適切に処理されています。

CVE-2020-24750

2.9.10.6 より前の FasterXML jackson-databind 2.x において、com.pastdev.httpcomponents.configuration.JndiConfiguration に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-25649

FasterXML Jackson Databind に欠陥が見つかり、エンティティ拡張が適切に保護されていませんでした。この欠陥により、XML 外部エンティティ (XXE) 攻撃に対する脆弱性が存在します。この脆弱性が最大の脅威となるのは、データの整合性です。

CVE-2020-35490

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.commons.dbcp2.datasources.PerUserPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-35491

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.commons.dbcp2.datasources.SharedPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-35728

2.9.10.8 より前の FasterXML jackson-databind 2.x において、com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (別名: embedded Xalan in org.glassfish.web/javax.servlet.jsp.jstl) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36179

2.9.10.8 より前の FasterXML jackson-databind 2.x において、oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36180

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36181

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36182

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPD に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36183

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36184

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36185

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36186

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36187

2.9.10.8 より前の FasterXML jackson-databind 2.x において、org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36188

2.9.10.8 より前の FasterXML jackson-databind 2.x において、com.newrelic.agent.deps.ch.qos.logback.core.db.JNDICS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2020-36189

2.9.10.8 より前の FasterXML jackson-databind 2.x において、com.newrelic.agent.deps.ch.qos.logback.core.db.DMCS に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。

CVE-2021-20190

2.9.10.7 より前の jackson-databind に欠陥が見つかりました。FasterXML は、シリアル化ガジェットと入力の間の相互作用を不適切に処理します。
この脆弱性が最大の脅威となるのは、データの機密性と整合性、ならびにシステムの可用性です。

Debian 9 'Stretch' では、これらの問題はバージョン 2.8.6-1+deb9u9 で修正されています。

お使いの jackson-databind パッケージをアップグレードすることをお勧めます。

jackson-databindの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/jackson-databind

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

このjackson-databind用の更新プログラムでは、次の問題が修正されています：

jackson-databindが2.10.5.1に更新されました：

  - #2589：「DOMDeserializer」：
    setExpandEntityReferences(false)は、すべての場合において外部エンティティ拡張を阻止しない可能性があります（CVE-2020-25649、bsc#1177616）

  - #2787（部分的な修正）：enum用のmixinを追加した後のNPE

  - #2679：「ObjectMapper.readValue('123', Void.TYPE)」が「should never occur」をスローします

この更新はSUSEからインポートされました：SLE-15-SP2: 更新プロジェクトを更新します。

リモートホストにインストールされている Splunk のバージョンは、テスト済みバージョンより前です。したがって、SVD-2024-0303 のアドバイザリに記載されている脆弱性の影響を受けます。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
251705	Linux Distros のパッチ未適用の脆弱性: CVE-2020-35728	Nessus	Misc.	2025/8/19	2025/8/19	high
149019	DebianDLA-2638-1：jackson-databind セキュリティ更新	Nessus	Debian Local Security Checks	2021/4/27	2024/1/12	high
146144	openSUSEセキュリティ更新プログラム：jackson-databind（openSUSE-2021-221）	Nessus	SuSE Local Security Checks	2021/2/4	2024/1/24	high
194923	Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0303)	Nessus	CGI abuses	2024/5/2	2025/5/12	critical

検出

プラグインの検索

high

high

high

critical