Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en anteros-core en FasterXML jackson-databind (CVE-2020-9548)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
02/03/2020
Última modificación:
07/11/2023

Descripción

FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.4, maneja inapropiadamente la interacción entre la serialización de gadgets y el tipeo, relacionada a br.com.anteros.dbcp.AnterosDBCPConfig (también se conoce como anteros-core).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* 2.0.0 (incluyendo) 2.7.9.7 (excluyendo)
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* 2.8.0 (incluyendo) 2.8.11.6 (excluyendo)
cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* 2.9.0 (incluyendo) 2.9.10.4 (excluyendo)
cpe:2.3:a:netapp:active_iq_unified_manager:*:*:*:*:*:linux:*:* 7.3 (incluyendo)
cpe:2.3:a:netapp:active_iq_unified_manager:*:*:*:*:*:windows:*:* 7.3 (incluyendo)
cpe:2.3:a:netapp:active_iq_unified_manager:*:*:*:*:*:vmware_vsphere:*:* 9.5 (incluyendo)
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:agile_plm:9.3.6:*:*:*:*:*:*:*
cpe:2.3:a:oracle:autovue_for_agile_product_lifecycle_management:21.0.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:banking_digital_experience:18.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:banking_digital_experience:18.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:banking_digital_experience:18.3:*:*:*:*:*:*:*
cpe:2.3:a:oracle:banking_digital_experience:19.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:banking_digital_experience:19.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:banking_digital_experience:20.1:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información