根據其自我報告版本號碼，遠端網頁伺服器上執行的 Oracle Primavera Gateway 安裝是比 15.2.17 舊的 15.x 版、比 16.2.10 舊的 16.x 版、比 17.12.5 舊的 17.x 版或比 18.8.7 舊的 18.x 版。因此，會受到多個弱點影響：- 比 2.9.9 舊的 2.x 版 FasterXML jackson-databind 元件中有一個任意檔案讀取弱點。此弱點之所以存在，是因為缺少 com.mysql.cj.jdbc.admin.MiniAdmin 驗證。未經驗證的遠端攻擊者可惡意利用此弱點，透過主控受害者可連線的特製 MySQL 伺服器並傳送特製的 JSON 訊息，讀取任意檔案並洩漏敏感資訊。(CVE-2019-12086) - 3.1.7 之前的 Apache POI 元件中有一個拒絕服務 (DoS) 弱點，這是因為剖析特製的 WMF、EMF、MSG、macros、DOC、PPT 和 XLS 時發生缺陷所致。未經驗證的遠端攻擊者可惡意利用此問題，透過傳送特製的輸入造成應用程式停止回應。(CVE-2017-12626) - 2.9.0.2 之前的 FasterXML jackson-databind 元件中有一個遠端程式碼執行弱點，這是因為處理 default typing 的方式 (因 net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup 而使用 ehcache 時) 發生缺陷所致。未經驗證的遠端攻擊者可惡意利用此弱點，繞過驗證並執行任意命令。(CVE-2019-14379) 請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

現已提供適用於 Red Hat Enterprise Linux 8 的新 Red Hat Single Sign-On 7.3.4 套件。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。Red Hat Single Sign-On 7.3 是一部以 Keycloak 專案為基礎建置而成的獨立伺服器，其為 Web 及行動應用程式提供驗證和標準型單一登入功能。此適用於 RHEL 8 的 Red Hat Single Sign-On 7.3.4 版本是 Red Hat Single Sign-On 7.3.3 的替代版本，其中包含數個錯誤修正和增強功能，詳情請參閱〈參照〉中的「版本資訊」連結。安全性修正：* keycloak：跨領域使用者存取驗證繞過 (CVE-2019-14832) * keycloak：經由任意 URL 洩漏介面卡端點 (CVE-2019-14820) * jackson-databind：多型輸入問題可讓攻擊者透過特製 JSON 訊息而讀取伺服器上的任意本機檔案 (CVE-2019-12814) * jackson-databind：預設輸入處理不當導致遠端程式碼執行 (CVE-2019-14379) * jackson-databind：多型輸入問題可讓攻擊者讀取伺服器上的任意本機檔案 (CVE-2019-12086) * undertow：缺少結尾斜線的目錄要求中存在資訊洩漏 (CVE-2019-10184) 如需安全性問題的詳細資料，包括影響、CVSS 分數及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

現已提供適用於 Red Hat Enterprise Linux 7 的新 Red Hat Single Sign-On 7.3.4 套件。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。Red Hat Single Sign-On 7.3 是一部以 Keycloak 專案為基礎建置而成的獨立伺服器，其為 Web 及行動應用程式提供驗證和標準型單一登入功能。此適用於 RHEL 7 的 Red Hat Single Sign-On 7.3.4 版本是 Red Hat Single Sign-On 7.3.3 的替代版本，其中包含數個錯誤修正和增強功能，詳情請參閱〈參照〉中的「版本資訊」連結。安全性修正：* keycloak：跨領域使用者存取驗證繞過 (CVE-2019-14832) * keycloak：經由任意 URL 洩漏介面卡端點 (CVE-2019-14820) * jackson-databind：多型輸入問題可讓攻擊者透過特製 JSON 訊息而讀取伺服器上的任意本機檔案 (CVE-2019-12814) * jackson-databind：預設輸入處理不當導致遠端程式碼執行 (CVE-2019-14379) * jackson-databind：多型輸入問題可讓攻擊者讀取伺服器上的任意本機檔案 (CVE-2019-12086) * undertow：缺少結尾斜線的目錄要求中存在資訊洩漏 (CVE-2019-10184) 如需安全性問題的詳細資料，包括影響、CVSS 分數及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

在 jackson-databind (一種用於剖析 JSON 和其他資料格式的 Java 程式庫) 中發現多個安全性問題，可導致資訊洩漏或任意程式碼執行。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 在 FasterXML jackson-databind 2.x 至 2.9.9 版本中發現一個多型態輸入問題。為外部公開的 JSON 端點啟用「預設輸入」(全域或針對特定屬性) 時，該服務在類別路徑中具有 mysql-connector-java jar (8.0.14 或更早版本)，攻擊者可以託管受害者可存取的特製 MySQL 伺服器、攻擊者可以傳送特製的 JSON 資訊，允許其讀取伺服器上的任意本機檔案。這是因為缺少 com.mysql.cj.jdbc.admin.MiniAdmin 驗證所致。(CVE-2019-12086)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

在 jackson-databind (一種適用於 Java 的 JSON 程式庫) 中發現一個多型態輸入問題。為外部公開的 JSON 端點啟用「預設輸入」(全域或針對特定屬性) 時，該服務在類別路徑中具有 mysql-connector-java jar (8.0.14 或更早版本)，攻擊者可以託管受害者可存取的特製 MySQL 伺服器、攻擊者可以傳送特製的 JSON 資訊，允許其讀取伺服器上的任意本機檔案。這是因為缺少 com.mysql.cj.jdbc.admin.MiniAdmin 驗證所致。針對 Debian 8「Jessie」，此問題已在 2.4.2-2+deb8u6 版本中修正。建議您升級 jackson-databind 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2019:3044 公告中提及的多個弱點影響。

  - undertow：不含結尾斜線的目錄要求中發生資訊洩漏 (CVE-2019-10184)

  - jackson-databind：攻擊者可利用多型態輸入問題，讀取伺服器上的任意本機檔案。
    (CVE-2019-12086)

  - jackson-databind：多型輸入問題可讓攻擊者透過特製 JSON 訊息而讀取伺服器上的任意本機檔案 (CVE-2019-12814)

  - jackson-databind：預設輸入處理不當導致遠端程式碼執行 (CVE-2019-14379)

  - keycloak：經由任意 URL 洩漏介面卡端點 (CVE-2019-14820)

  - keycloak：跨領域使用者存取驗證繞過 (CVE-2019-14832)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本號碼，遠端網頁伺服器上執行的 Oracle Primavera Unifier 安裝版本是 16.1.x 或比 16.2.15.10 舊的 16.2.x、或是 17.12.11.1 之前的 17.7.x 至 17.12.x、比 18.8.13.0 舊的 18.8.x。因此，會受到多個弱點影響：- 在 Primavera Unifier 的 jackson-databind 元件中使用「ehcache」時，處理「default typing」的方式有一個不明缺陷。未經驗證的遠端攻擊者可透過網路經由 HTTP 惡意利用此缺陷，來造成遠端程式碼執行。(CVE-2019-14379) - Primavera Unifier 的 jackson-databind 元件中有一個資訊洩漏弱點。若服務的類別路徑中有 mysql-connector-java jar，且攻擊者可主控受害者可存取的特製 MySQL 伺服器，未經驗證的遠端攻擊者即可透過外露的 JSON 端點來惡意利用此弱點。攻擊者可傳送特製的 JSON 訊息來讀取伺服器上的任意本機檔案。(CVE-2019-12086) - Primavera Unifier 的 jackson-databind 元件中有一個資訊洩漏弱點。若服務的類別路徑中有 logback jar，未經驗證的遠端攻擊者即可透過外露的 JSON 端點惡意利用此弱點，進而造成資訊洩漏。(CVE-2019-14439) 請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機上安裝的 Oracle WebCenter Portal 缺少 2019 年 10 月重大修補程式更新 (CPU) 的安全性修補程式。因此會受到 FasterXML jackson-databind 子元件中的任意檔案讀取弱點影響。這是因為缺少 com.mysql.cj.jdbc.admin.MiniAdmin 驗證所致。未經驗證的遠端攻擊者可惡意利用此弱點，透過傳送特製的 JSON 訊息，讀取任意檔案並洩露敏感資訊。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2020: 1454 公告中提及的多個弱點影響。

  - rubygem-net-ldap：缺少 SSL 憑證驗證 (CVE-2017-17718)

  - mina-core：保留 close_notify SSL-TLS 中的開放通訊端，會導致資訊洩漏。
    (CVE-2019-0231)

  - apache-commons-beanutils：未預設隱藏 PropertyUtilsBean 中的類別屬性 (CVE-2019-10086)

  - jackson-databind：攻擊者可利用多型態輸入問題，讀取伺服器上的任意本機檔案。
    (CVE-2019-12086)

  - rubygem-foreman_ansible: 來自 Job Invocation 的使用者輸入項目可能包含敏感資料 (CVE-2020-10716)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

現已提供適用於 Red Hat Enterprise Linux 7.2 之 Red Hat JBoss Enterprise Application Platform 6 的更新。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。本版本 Red Hat JBoss Enterprise Application Platform 7.2.4 是 Red Hat JBoss Enterprise Application Platform 7.2.3 的替代版本，其中包含錯誤修正和增強功能。如需此本版本中包含的最重要錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.2.4 版本資訊。安全性修正：* jackson-databind：預設輸入處理不當導致遠端程式碼執行 (CVE-2019-14379) * jackson-databind：未封鎖來自多型態還原序列化的 logback-core 類別，進而導致遠端程式碼執行 (CVE-2019-12384) * jackson-databind：多型輸入問題可讓攻擊者透過特製 JSON 訊息而讀取伺服器上的任意本機檔案 (CVE-2019-12814) * undertow：io.undertow.request.security 的 DEBUG 記錄如果啟用，會將認證洩漏到記錄檔 (CVE-2019-10212) * codehaus：jackson-databind 弱點中的不安全還原序列化的修正不完整 (CVE-2019-10202) * jackson-databind：多型輸入問題可讓攻擊者讀取伺服器上的任意本機檔案 (CVE-2019-12086) * undertow：要求目錄但遺漏結尾斜線而導致資訊洩漏 (CVE-2019-10184)

現已提供適用於 Red Hat Enterprise Linux 7.2 之 Red Hat JBoss Enterprise Application Platform 7 的更新。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。本版本 Red Hat JBoss Enterprise Application Platform 7.2.4 是 Red Hat JBoss Enterprise Application Platform 7.2.3 的替代版本，其中包含錯誤修正和增強功能。如需此本版本中包含的最重要錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.2.4 版本資訊。安全性修正：* jackson-databind：預設輸入處理不當導致遠端程式碼執行 (CVE-2019-14379) * jackson-databind：未封鎖來自多型態還原序列化的 logback-core 類別，進而導致遠端程式碼執行 (CVE-2019-12384) * jackson-databind：多型輸入問題可讓攻擊者透過特製 JSON 訊息而讀取伺服器上的任意本機檔案 (CVE-2019-12814) * undertow：io.undertow.request.security 的 DEBUG 記錄如果啟用，會將認證洩漏到記錄檔 (CVE-2019-10212) * codehaus：jackson-databind 弱點中的不安全還原序列化的修正不完整 (CVE-2019-10202) * jackson-databind：多型輸入問題可讓攻擊者讀取伺服器上的任意本機檔案 (CVE-2019-12086) * undertow：要求目錄但遺漏結尾斜線而導致資訊洩漏 (CVE-2019-10184)

現已提供適用於 Red Hat Enterprise Linux 8 之 Red Hat JBoss Enterprise Application Platform 7.2 的更新。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。本版本 Red Hat JBoss Enterprise Application Platform 7.2.4 是 Red Hat JBoss Enterprise Application Platform 7.2.3 的替代版本，其中包含錯誤修正和增強功能。如需此本版本中包含的最重要錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.2.4 版本資訊。安全性修正：* jackson-databind：預設輸入處理不當導致遠端程式碼執行 (CVE-2019-14379) * jackson-databind：未封鎖來自多型態還原序列化的 logback-core 類別，進而導致遠端程式碼執行 (CVE-2019-12384) * jackson-databind：多型輸入問題可讓攻擊者透過特製 JSON 訊息而讀取伺服器上的任意本機檔案 (CVE-2019-12814) * undertow：io.undertow.request.security 的 DEBUG 記錄如果啟用，會將認證洩漏到記錄檔 (CVE-2019-10212) * codehaus：jackson-databind 弱點中的不安全還原序列化的修正不完整 (CVE-2019-10202) * jackson-databind：多型輸入問題可讓攻擊者讀取伺服器上的任意本機檔案 (CVE-2019-12086) * undertow：要求目錄但遺漏結尾斜線而導致資訊洩漏 (CVE-2019-10184)

遠端 Ubuntu 16.04 ESM 主機上安裝的一個套件受到 USN-4813-1 公告中提及的多個弱點影響。

  - 在 FasterXML jackson-databind 2.0.0 至 2.9.5 版本中發現一個問題。將 Jackson 預設輸入與 iBatis 的小工具類別一起使用時，可允許發生內容洩漏。已在 2.7.9.4、2.8.11.2 和 2.9.6 版中修正。(CVE-2018-11307)

  - 在 FasterXML jackson-databind 2.7.9.4、2.8.11.2 以及 2.9.6 版本中發現一個問題。當啟用 Default Typing (全域或針對特定屬性) 時，攻擊者可以透過提供 LDAP 服務來進行存取該服務類別路徑中的 Jodd-db jar (用於 Jodd 框架的資料庫存取)，從而可能使該服務執行惡意負載。(CVE-2018-12022)

  - 在 FasterXML jackson-databind 2.7.9.4、2.8.11.2 以及 2.9.6 版本中發現一個問題。當啟用 Default Typing (全域或針對特定屬性) 時，攻擊者可以透過提供 LDAP 服務來進行存取該服務類別路徑中的 Oracle JDBC jar，從而可能使該服務執行惡意負載。(CVE-2018-12023)

  - FasterXML jackson-databind 2.x 至 2.9.7 版本允許遠端攻擊者利用無法封鎖來自多型還原序列化的 slf4j-ext 類別，執行任意程式碼。(CVE-2018-14718)

  - FasterXML jackson-databind 2.x 至 2.9.7 版本可能允許遠端攻擊者利用無法封鎖來自多型還原序列化的 blaze-ds-opt 和 blaze-ds-core 類別，執行任意程式碼。
    (CVE-2018-14719)

  - FasterXML jackson-databind 2.x 至 2.9.7 版本可能允許攻擊者透過利用無法封鎖來自多型還原序列化的不明 JDK 類別，造成不明影響。
    (CVE-2018-14720)

  - FasterXML jackson-databind 2.x 至 2.9.7 版本可能允許遠端攻擊者利用無法封鎖來自多型還原序列化的 axis2-jaxws 類別，執行伺服器端要求偽造 (SSRF) 攻擊。(CVE-2018-14721)

  - FasterXML jackson-databind 2.x 至 2.9.8 版本可能允許攻擊者透過利用無法封鎖來自多型還原序列化的 axis2-transport-jms 類別，造成不明影響。(CVE-2018-19360)

  - FasterXML jackson-databind 2.x 至 2.9.8 版本可能允許攻擊者透過利用無法封鎖來自多型還原序列化的 openjpa 類別，造成不明影響。(CVE-2018-19361)

  - FasterXML jackson-databind 2.x 至 2.9.8 版本可能允許攻擊者透過利用無法封鎖來自多型還原序列化的 jboss-common-core 類別，造成不明影響。(CVE-2018-19362)

  - 在 FasterXML jackson-databind 2.x 至 2.9.9 版本中發現一個多型態輸入問題。為外部公開的 JSON 端點啟用「預設輸入」(全域或針對特定屬性) 時，該服務在類別路徑中具有 mysql-connector-java jar (8.0.14 或更早版本)，攻擊者可以託管受害者可存取的特製 MySQL 伺服器、攻擊者可以傳送特製的 JSON 資訊，允許其讀取伺服器上的任意本機檔案。這是因為缺少 com.mysql.cj.jdbc.admin.MiniAdmin 驗證所致。(CVE-2019-12086)

  - FasterXML jackson-databind 2.x 的 2.9.9.1 之前版本可能允許攻擊者利用無法阻止 logback-core 類別多型還原序列化的故障，來造成各種影響。視類別路徑內容而定，可能會導致遠端程式碼執行。(CVE-2019-12384)

  - 在 FasterXML jackson-databind 2.x 至 2.9.9 中發現多型態輸入問題。為外部公開的 JSON 端點啟用「預設輸入」(全域或針對特定屬性) 時，且該服務在類別路徑中具有 JDOM 1.x 或 2.x 時，攻擊者可以傳送特製的 JSON 訊息，讓他們可以讀取伺服器上的任意本機檔案。(CVE-2019-12814)

  - 在 FasterXML jackson-databind 2.9.9.2 之前版本中，SubTypeValidator.java 在使用 ehcache 時未正確處理預設輸入 (因為 net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup)，進而導致遠端程式碼執行。(CVE-2019-14379)

  - 在 FasterXML jackson-databind 2.x 至 2.9.9.2 版本中發現一個多型態輸入問題。當針對外部公開的 JSON 端點啟用「預設輸入」(全域或針對特定內容)，且服務在類別路徑中有 logback jar 時，會發生此情況。(CVE-2019-14439)

  - 在 FasterXML jackson-databind 2.9.10 之前版本中發現多型態輸入問題。這與 com.zaxxer.hikari.HikariConfig 有關。(CVE-2019-14540)

  - 在 FasterXML jackson-databind 2.9.10 之前版本中發現多型態輸入問題。這與 com.zaxxer.hikari.HikariDataSource 有關。此弱點與 CVE-2019-14540 不同。
    (CVE-2019-16335)

  - 在 FasterXML jackson-databind 2.0.0 至 2.9.10 中發現多型態輸入問題。當針對外部公開的 JSON 端點啟用預設分型 (全域或針對特定屬性)，且服務在類別路徑中具有 commons-dbcp (1.4) jar 時，如果攻擊者可找到要存取的 RMI 服務端點，則可能會使服務執行惡意承載。產生此問題的原因是，org.apache.commons.dbcp.datasources.SharedPoolDataSource 和 org.apache.commons.dbcp.datasources.PerUserPoolDataSource 處理不正確。(CVE-2019-16942)

  - 在 FasterXML jackson-databind 2.0.0 至 2.9.10 中發現多型態輸入問題。當針對外部公開的 JSON 端點啟用預設分型 (全域或特定內容)，且服務在類別路徑中具有 p6spy (3.8.6) jar 時，如果攻擊者可找到要存取的 RMI 服務端點，則可能會使服務執行惡意承載。此問題之所以存在，是因為 com.p6spy.engine.spy.P6DataSource 處理不當。(CVE-2019-16943)

  - 在 FasterXML jackson-databind 2.9.10 之前版本中發現多型態輸入問題。該問題與 net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup 有關。(CVE-2019-17267)

  - 在 FasterXML jackson-databind 2.0.0 至 2.9.10 中發現多型態輸入問題。當針對外部公開的 JSON 端點啟用預設分型 (全域或針對特定屬性)，且服務在類別路徑中具有 apache-log4j-extra (1.2.x 版本) jar 時，如果攻擊者可提供 JNDI 服務端點，則可能會使服務執行惡意承載。(CVE-2019-17531)

  - FasterXML jackson-databind 2.x 至 2.9.10.2 版本缺少特定 net.sf.ehcache 封鎖。(CVE-2019-20330)

  - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory (即 aries.transaction.jms) 相關。(CVE-2020-10672)

  - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 com.caucho.config.types.ResourceRef (即 caucho-quercus) 相關。(CVE-2020-10673)

  - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.aoju.bus.proxy.provider.remoting.RmiProvider 有關 (即 bus-proxy)。(CVE-2020-10968)

  - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 javax.swing.JEditorPane 有關。(CVE-2020-10969)

  - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.activemq 有關 * (即 activemq-jms、activemq-core、activemq-pool 和 activemq-pool-jms)。(CVE-2020-11111)

  - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.commons.proxy.provider.remoting.RmiProvider 有關 (即 apache/commons-proxy)。
    (CVE-2020-11112)

  - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 rg.apache.openjpa.ee.WASRegistryManagedRuntime 有關 (即 openjpa)。(CVE-2020-11113)

  - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.springframework.aop.config.MethodLocatingFactoryBean 有關 (即 spring-aop)。
    (CVE-2020-11619)

  - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.commons.jelly.impl.Embedded 有關 (即 commons-jelly)。(CVE-2020-11620)

  - FasterXML jackson-databind 2.x 至 2.9.10.5 版本會錯誤處理序列化小工具與輸入之間的互動，此問題涉及 oadd.org.apache.xalan.lib.sql.JNDIConnectionPool (即 apache/drill)。
    (CVE-2020-14060)

  - FasterXML jackson-databind 2.x 至 2.9.10.5 版本會不當處理序列化小工具與輸入之間的互動，此問題涉及 oracle.jms.AQjmsQueueConnectionFactory、oracle.jms.AQjmsXAtopicConnectionFactory、oracle.jms.AQjmstopicConnectionFactory、oracle.jms.AQjmsXAQueueConnectionFactory 和 oracle.jms.AQjmsXAConnectionFactory (即 weblogic/oracle-aqjms)。(CVE-2020-14061)

  - FasterXML jackson-databind 2.x 至 2.9.10.5 版本會錯誤處理序列化小工具與輸入之間的互動，此問題涉及 com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool (即 xalan2)。
    (CVE-2020-14062)

  - FasterXML jackson-databind 2.x 至 2.9.10.5 版本會錯誤處理序列化小工具與輸入之間的互動，此問題涉及 org.jsecurity.realm.jndi.JndiRealmFactory (即 org.jsecurity)。(CVE-2020-14195)

  - FasterXML jackson-databind 2.0.0 至 2.9.10.2 版本缺少特定 xbean-reflect/JNDI 封鎖，org.apache.xbean.propertyeditor.JndiConverter 即為一例。(CVE-2020-8840)

  FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (即陰影 hikari-config) 相關。
    (CVE-2020-9546)

  - FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與類型之間的互動，此問題與 com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (即 ibatis-sqlmap) 相關。
    (CVE-2020-9547)

  FasterXML jackson-databind 2.x 至 2.9.10.4 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 br.com.anteros.dbcp.AnterosDBCPConfig (即 anteros-core) 相關。(CVE-2020-9548)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
130019	Oracle Primavera Gateway 多個弱點 (2019 年 10 月 CPU)	Nessus	CGI abuses	2019/10/18	2024/4/17	critical
129865	RHEL 8：Red Hat Single Sign-On 7.3.4 (RHSA-2019:3046)	Nessus	Red Hat Local Security Checks	2019/10/15	2024/11/6	critical
129864	RHEL 7：Red Hat Single Sign-On 7.3.4 (RHSA-2019:3045)	Nessus	Red Hat Local Security Checks	2019/10/15	2024/11/6	critical
125416	Debian DSA-4452-1：jackson-databind - 安全性更新	Nessus	Debian Local Security Checks	2019/5/28	2024/5/21	critical
252659	Linux Distros 未修補的弱點：CVE-2019-12086	Nessus	Misc.	2025/8/20	2025/8/20	high
125317	Debian DLA-1798-1：jackson-databind 安全性更新	Nessus	Debian Local Security Checks	2019/5/22	2024/5/21	high
129863	RHEL 6：RHEL 6 上的 Red Hat Single Sign-On 7.3.4 安全性更新 (重要) (RHSA-2019:3044)	Nessus	Red Hat Local Security Checks	2019/10/15	2024/11/6	critical
130070	Oracle Primavera Unifier 多個弱點 (2019 年 10 月 CPU)	Nessus	CGI abuses	2019/10/21	2024/4/17	critical
130005	Oracle WebCenter Portal 任意檔案讀取 (2019 年 10 月 CPU)	Nessus	Misc.	2019/10/17	2025/7/24	high
136038	RHEL 7：Satellite 6.7 版本。(重要) (RHSA-2020: 1454)	Nessus	Red Hat Local Security Checks	2020/4/28	2024/11/7	high
129516	RHEL 6：JBoss EAP (RHSA-2019:2935)	Nessus	Red Hat Local Security Checks	2019/10/2	2024/11/6	critical
129517	RHEL 7：JBoss EAP (RHSA-2019:2936)	Nessus	Red Hat Local Security Checks	2019/10/2	2024/11/7	critical
129518	RHEL 8：JBoss EAP (RHSA-2019:2937)	Nessus	Red Hat Local Security Checks	2019/10/2	2024/11/6	critical
183541	Ubuntu 16.04 ESM：Jackson Databind 弱點 (USN-4813-1)	Nessus	Ubuntu Local Security Checks	2023/10/20	2024/8/28	critical

偵測

搜尋 Plugin

critical

critical

critical

critical

high

high

critical

critical

high

high

critical

critical

critical

critical