製品・ソフトウェアに関する情報
FasterXML jackson-databind における信頼性のないデータのデシリアライゼーションに関する脆弱性
Title FasterXML jackson-databind における信頼性のないデータのデシリアライゼーションに関する脆弱性
Summary

FasterXML jackson-databind には、信頼性のないデータのデシリアライゼーションに関する脆弱性が存在します。

Possible impacts 情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 8, 2018, midnight
Registration Date April 16, 2019, 10:47 a.m.
Last Update April 16, 2019, 10:47 a.m.
CVSS3.0 : 重要
Score 7.5
Vector CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
CVSS2.0 : 警告
Score 5.1
Vector AV:N/AC:H/Au:N/C:P/I:P/A:P
Affected System
オラクル
Enterprise Manager for Virtualization 
Enterprise Manager for Virtualization 
JD Edwards EnterpriseOne Orchestrator 
JD Edwards EnterpriseOne Orchestrator 
JD Edwards EnterpriseOne Tools 
JD Edwards EnterpriseOne Tools 
Oracle Banking Platform 
Oracle Banking Platform 
Oracle Communications Billing and Revenue Management 
Oracle Communications Billing and Revenue Management 
Oracle Communications Instant Messaging Server 
Oracle Communications Instant Messaging Server 
Oracle Financial Services Analytical Applications Infrastructure 
Oracle Financial Services Analytical Applications Infrastructure 
Oracle Identity Manager 
Oracle Identity Manager 
Fedora Project
Fedora 
Fedora 
FasterXML, LLC
Jackson-databind 2.7.9.4 未満
Jackson-databind 2.8.11.2 未満
Jackson-databind 2.9.6 未満
Jackson-databind 2.7.9.4 未満
Jackson-databind 2.8.11.2 未満
Jackson-databind 2.9.6 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2019年04月16日]
  掲載
April 16, 2019, 10:47 a.m.

NVD Vulnerability Information
CVE-2018-12023
Summary

An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Oracle JDBC jar in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.

Publication Date March 22, 2019, 1 a.m.
Registration Date March 1, 2021, 6:48 p.m.
Last Update Nov. 21, 2024, 12:44 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* 2.7.0 2.7.9.4
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* 2.8.0 2.8.11.2
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* 2.9.0 2.9.6
Configuration2 or higher or less more than less than
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:a:oracle:jd_edwards_enterpriseone_tools:9.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:retail_merchandising_system:15.0:*:*:*:*:*:*:*
Configuration4 or higher or less more than less than
cpe:2.3:a:redhat:openshift_container_platform:3.11:*:*:*:*:*:*:*
cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.2.0:*:*:*:*:*:*:*
cpe:2.3:a:redhat:single_sign-on:7.3:*:*:*:*:*:*:*
cpe:2.3:a:redhat:jboss_brms:6.4.10:*:*:*:*:*:*:*
cpe:2.3:a:redhat:automation_manager:7.3.1:*:*:*:*:*:*:*
cpe:2.3:a:redhat:decision_manager:7.3.1:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List