NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2020-10650

概要	A deserialization flaw was discovered in jackson-databind through 2.9.10.4. It could allow an unauthenticated user to perform code execution via ignite-jta or quartz-core: org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup, org.apache.ignite.cache.jta.jndi.CacheJndiTmFactory, and org.quartz.utils.JNDIConnectionProvider.
公表日	2022年12月27日5:15
登録日	2022年12月27日10:00
最終更新日	2024年11月21日13:55

CVSS3.1 : HIGH
スコア	8.1
ベクター	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	高
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:fasterxml:jackson-databind::::::::			2.9.10.4

構成2		以上	以下	より上	未満
cpe:2.3:a:oracle:retail_merchandising_system:15.0:::::::*
cpe:2.3:a:oracle:retail_sales_audit:14.1:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/advisories/GHSA-rpr3-cw39-3pxh		Third Party Advisory
2	https://github.com/FasterXML/jackson-databind/commit/a424c038ba0c0d65e579e22001dec925902ac0ef		Patch Third Party Advisory
3	https://github.com/FasterXML/jackson-databind/issues/2658		Patch Third Party Advisory
4	https://lists.debian.org/debian-lts-announce/2023/04/msg00032.html
5	https://medium.com/%40cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062		Exploit Third Party Advisory
6	https://security.netapp.com/advisory/ntap-20230818-0007/
7	https://www.oracle.com/security-alerts/cpujan2021.html		Patch Third Party Advisory
8	https://www.oracle.com/security-alerts/cpuoct2022.html		Patch Third Party Advisory
9	https://github.com/advisories/GHSA-rpr3-cw39-3pxh		Third Party Advisory
10	https://www.oracle.com/security-alerts/cpuoct2022.html		Patch Third Party Advisory
11	https://www.oracle.com/security-alerts/cpujan2021.html		Patch Third Party Advisory
12	https://security.netapp.com/advisory/ntap-20230818-0007/
13	https://medium.com/%40cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062		Exploit Third Party Advisory
14	https://lists.debian.org/debian-lts-announce/2023/04/msg00032.html
15	https://github.com/FasterXML/jackson-databind/issues/2658		Patch Third Party Advisory
16	https://github.com/FasterXML/jackson-databind/commit/a424c038ba0c0d65e579e22001dec925902ac0ef		Patch Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-502	信頼性のないデータのデシリアライゼーション	https://cwe.mitre.org/data/definitions/502.html