Several CVE's in Trivy analysis #1579

juananinca · 2022-07-14T07:44:04Z

I built the webapp with docker and found several cve's after analysing the image with Trivy.

Here it is the dockerfile I used:

FROM maven:3-jdk-11-slim as builder

WORKDIR /config
COPY . .

WORKDIR /openid

RUN apt -y update && \
    apt -y install git && \
    git clone https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server.git && \
    cd OpenID-Connect-Java-Spring-Server/ && \
    cp -f /config/pom.xml pom.xml && \
    cp -f /config/data-context.xml openid-connect-server-webapp/src/main/webapp/WEB-INF/data-context.xml && \
    cp -f /config/user-context.xml openid-connect-server-webapp/src/main/webapp/WEB-INF/user-context.xml && \
    mvn -s /config/settings.xml clean install

FROM tomcat:8.5.81-jre11-openjdk-slim-buster

RUN apt -y update && \
    apt -y install wget && \
    cd lib && \
    wget https://repo1.maven.org/maven2/org/postgresql/postgresql/9.4.1212/postgresql-9.4.1212.jar
COPY --from=builder /openid/OpenID-Connect-Java-Spring-Server/openid-connect-server-webapp/target/openid-connect-server-webapp.war /usr/local/tomcat/webapps

Note that: config folder just contain data-context and user-context config files and the pom.xml there.

That pom.xml just override the original pom file but including the change proposed by @chirontt in Build failure on Java11+ #1575 (Build failure on Java11+ #1575 (comment))
That settings.xml it just sets up the proxy settings.

Here it is the result of the analysis:

Total: 65 (HIGH: 42, CRITICAL: 23)

┌──────────────────────────────────────────────────────────────┬────────────────┬──────────┬───────────────────┬─────────────────────────────┬──────────────────────────────────────────────────────────────┐
│                           Library                            │ Vulnerability  │ Severity │ Installed Version │        Fixed Version        │                            Title                             │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2019-14379 │ CRITICAL │ 2.9.8             │ 2.7.9.6, 2.8.11.4, 2.9.9.2  │ jackson-databind: default typing mishandling leading to      │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ remote code execution                                        │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-14379                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2019-14540 │          │                   │ 2.9.10                      │ jackson-databind: Serialization gadgets in                   │
│                                                              │                │          │                   │                             │ com.zaxxer.hikari.HikariConfig                               │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-14540                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2019-14892 │          │                   │ 2.6.7.3, 2.8.11.5, 2.9.10   │ jackson-databind: Serialization gadgets in classes of the    │
│                                                              │                │          │                   │                             │ commons-configuration package                                │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-14892                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2019-14893 │          │                   │ 2.8.11.5, 2.9.10            │ jackson-databind: Serialization gadgets in classes of the    │
│                                                              │                │          │                   │                             │ xalan package                                                │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-14893                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2019-16335 │          │                   │ 2.9.10                      │ jackson-databind: Serialization gadgets in                   │
│                                                              │                │          │                   │                             │ com.zaxxer.hikari.HikariDataSource                           │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-16335                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2019-16942 │          │                   │ 2.9.10.1                    │ jackson-databind: Serialization gadgets in                   │
│                                                              │                │          │                   │                             │ org.apache.commons.dbcp.datasources.*                        │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-16942                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2019-16943 │          │                   │                             │ jackson-databind: Serialization gadgets in                   │
│                                                              │                │          │                   │                             │ com.p6spy.engine.spy.P6DataSource                            │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-16943                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2019-17267 │          │                   │ 2.9.10                      │ jackson-databind: Serialization gadgets in classes of the    │
│                                                              │                │          │                   │                             │ ehcache package                                              │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-17267                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2019-17531 │          │                   │ 2.9.10.1                    │ jackson-databind: Serialization gadgets in                   │
│                                                              │                │          │                   │                             │ org.apache.log4j.receivers.db.*                              │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-17531                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2019-20330 │ CRITICAL │ 2.9.8             │ 2.8.11.5, 2.9.10.2          │ jackson-databind: lacks certain net.sf.ehcache blocking      │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-20330                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-8840  │          │                   │ 2.7.9.7, 2.8.11.5, 2.9.10.3 │ jackson-databind: Lacks certain xbean-reflect/JNDI blocking  │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-8840                    │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-9546  │ CRITICAL │ 2.9.8             │ 2.7.9.7, 2.8.11.6, 2.9.10.4 │ jackson-databind: Serialization gadgets in                   │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ shaded-hikari-config                                         │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-9546                    │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-9547  │ CRITICAL │ 2.9.8             │ 2.7.9.7, 2.8.11.6, 2.9.10.4 │ jackson-databind: Serialization gadgets in ibatis-sqlmap     │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-9547                    │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-9548  │          │                   │                             │ jackson-databind: Serialization gadgets in anteros-core      │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-9548                    │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2019-12086 │ HIGH     │ 2.9.8             │ 2.7.9.6, 2.8.11.4, 2.9.9    │ jackson-databind: polymorphic typing issue allows attacker   │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ to read arbitrary local files on...                          │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-12086                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2019-14439 │          │                   │ 2.7.9.6, 2.8.11.4, 2.9.9.2  │ jackson-databind: Polymorphic typing issue related to        │
│                                                              │                │          │                   │                             │ logback/JNDI                                                 │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-14439                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-10672 │          │                   │ 2.9.10.4                    │ jackson-databind: mishandles the interaction between         │
│                                                              │                │          │                   │                             │ serialization gadgets and typing which could result...       │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-10672                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-10673 │          │                   │ 2.6.7.4, 2.9.10.4           │ jackson-databind: mishandles the interaction between         │
│                                                              │                │          │                   │                             │ serialization gadgets and typing which could result...       │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-10673                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-10968 │          │                   │ 2.9.10.4                    │ jackson-databind: Serialization gadgets in                   │
│                                                              │                │          │                   │                             │ org.aoju.bus.proxy.provider.*.RmiProvider                    │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-10968                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-10969 │          │                   │ 2.7.9.7, 2.8.11.6, 2.9.10.4 │ jackson-databind: Serialization gadgets in                   │
│                                                              │                │          │                   │                             │ javax.swing.JEditorPane                                      │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-10969                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-11111 │          │                   │ 2.9.10.4                    │ jackson-databind: Serialization gadgets in                   │
│                                                              │                │          │                   │                             │ org.apache.activemq.jms.pool.XaPooledConnectionFactory       │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-11111                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-11112 │          │                   │                             │ jackson-databind: Serialization gadgets in                   │
│                                                              │                │          │                   │                             │ org.apache.commons.proxy.provider.remoting.RmiProvider       │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-11112                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-11113 │          │                   │                             │ jackson-databind: Serialization gadgets in                   │
│                                                              │                │          │                   │                             │ org.apache.openjpa.ee.WASRegistryManagedRuntime              │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-11113                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-11619 │          │                   │                             │ jackson-databind: Serialization gadgets in                   │
│                                                              │                │          │                   │                             │ org.springframework:spring-aop                               │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-11619                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-11620 │          │                   │                             │ jackson-databind: Serialization gadgets in                   │
│                                                              │                │          │                   │                             │ commons-jelly:commons-jelly                                  │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-11620                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-14060 │          │                   │ 2.9.10.5                    │ jackson-databind: serialization in                           │
│                                                              │                │          │                   │                             │ oadd.org.apache.xalan.lib.sql.JNDIConnectionPool             │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-14060                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-14061 │ HIGH     │ 2.9.8             │ 2.9.10.5                    │ jackson-databind: serialization in weblogic/oracle-aqjms     │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-14061                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-14062 │ HIGH     │ 2.9.8             │ 2.9.10.5                    │ jackson-databind: serialization in                           │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-14062                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-14195 │          │                   │                             │ jackson-databind: serialization in                           │
│                                                              │                │          │                   │                             │ org.jsecurity.realm.jndi.JndiRealmFactory                    │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-14195                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-24616 │ HIGH     │ 2.9.8             │ 2.9.10.6                    │ jackson-databind: mishandles the interaction between         │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ br.com.anteros.dbcp.AnterosDBCPDataSource...                 │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-24616                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-24750 │ HIGH     │ 2.9.8             │ 2.9.10.6                    │ jackson-databind: Serialization gadgets in                   │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ com.pastdev.httpcomponents.configuration.JndiConfiguration   │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-24750                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-25649 │          │                   │ 2.6.7.4, 2.9.10.7, 2.10.5.1 │ jackson-databind: FasterXML DOMDeserializer insecure entity  │
│                                                              │                │          │                   │                             │ expansion is vulnerable to XML external entity...            │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-25649                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-35490 │ HIGH     │ 2.9.8             │ 2.9.10.8                    │ jackson-databind: mishandles the interaction between         │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.- │
│                                                              │                │          │                   │                             │ ..                                                           │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-35490                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-35491 │ HIGH     │ 2.9.8             │ 2.9.10.8                    │ jackson-databind: mishandles the interaction between         │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ org.apache.commons.dbcp2.datasources.SharedPoolDataSource... │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-35491                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-35728 │ HIGH     │ 2.9.8             │ 2.9.10.8                    │ jackson-databind: mishandles the interaction between         │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnecti- │
│                                                              │                │          │                   │                             │ onPool...                                                    │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-35728                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-36179 │          │                   │                             │ jackson-databind: mishandles the interaction between         │
│                                                              │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS.- │
│                                                              │                │          │                   │                             │ ..                                                           │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-36179                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-36180 │ HIGH     │ 2.9.8             │ 2.9.10.8                    │ jackson-databind: mishandles the interaction between         │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS...    │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-36180                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-36181 │          │                   │                             │ jackson-databind: mishandles the interaction between         │
│                                                              │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS... │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-36181                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-36182 │ HIGH     │ 2.9.8             │ 2.9.10.8                    │ jackson-databind: mishandles the interaction between         │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.- │
│                                                              │                │          │                   │                             │ ..                                                           │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-36182                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-36183 │ HIGH     │ 2.9.8             │ 2.9.10.8                    │ jackson-databind: mishandles the interaction between         │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool...    │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-36183                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-36184 │ HIGH     │ 2.9.8             │ 2.9.10.8                    │ jackson-databind: mishandles the interaction between         │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSou- │
│                                                              │                │          │                   │                             │ rce...                                                       │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-36184                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-36185 │          │                   │                             │ jackson-databind: mishandles the interaction between         │
│                                                              │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSour- │
│                                                              │                │          │                   │                             │ ce...                                                        │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-36185                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-36186 │          │                   │                             │ jackson-databind: mishandles the interaction between         │
│                                                              │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSour- │
│                                                              │                │          │                   │                             │ ce...                                                        │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-36186                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-36187 │          │                   │                             │ jackson-databind: mishandles the interaction between         │
│                                                              │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSourc- │
│                                                              │                │          │                   │                             │ e...                                                         │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-36187                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-36188 │          │                   │                             │ jackson-databind: mishandles the interaction between         │
│                                                              │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnecti- │
│                                                              │                │          │                   │                             │ onSource...                                                  │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-36188                   │
│                                                              ├────────────────┤          │                   │                             ├──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-36189 │          │                   │                             │ jackson-databind: mishandles the interaction between         │
│                                                              │                │          │                   │                             │ serialization gadgets and typing, related to                 │
│                                                              │                │          │                   │                             │ com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManage- │
│                                                              │                │          │                   │                             │ rConnectionSource...                                         │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-36189                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind                  │ CVE-2020-36518 │ HIGH     │ 2.9.8             │ 2.12.6.1, 2.13.2.1          │ jackson-databind: denial of service via a large depth of     │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ nested objects                                               │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-36518                   │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2021-20190 │          │                   │ 2.9.10.7                    │ jackson-databind: mishandles the interaction between         │
│                                                              │                │          │                   │                             │ serialization gadgets and typing, related to javax.swing...  │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2021-20190                   │
├──────────────────────────────────────────────────────────────┼────────────────┤          ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.code.gson:gson (openid-connect-server-webapp.war) │ CVE-2022-25647 │          │ 2.8.0             │ 2.8.9                       │ com.google.code.gson-gson: Deserialization of Untrusted Data │
│                                                              │                │          │                   │                             │ in com.google.code.gson-gson                                 │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2022-25647                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.nimbusds:nimbus-jose-jwt                                 │ CVE-2019-17195 │ CRITICAL │ 5.4               │ 7.9                         │ nimbus-jose-jwt: Uncaught exceptions while parsing a JWT     │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-17195                   │
├──────────────────────────────────────────────────────────────┼────────────────┤          ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ log4j:log4j (openid-connect-server-webapp.war)               │ CVE-2019-17571 │          │ 1.2.17            │ 2.0-alpha1                  │ log4j: deserialization of untrusted data in SocketServer     │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-17571                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ log4j:log4j (openid-connect-server-webapp.war)               │ CVE-2022-23305 │ CRITICAL │ 1.2.17            │                             │ log4j: SQL injection in Log4j 1.x when application is        │
│                                                              │                │          │                   │                             │ configured to use...                                         │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2022-23305                   │
│                                                              ├────────────────┼──────────┤                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2022-23302 │ HIGH     │                   │                             │ log4j: Remote code execution in Log4j 1.x when application   │
│                                                              │                │          │                   │                             │ is configured to...                                          │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2022-23302                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ log4j:log4j (openid-connect-server-webapp.war)               │ CVE-2022-23307 │ HIGH     │ 1.2.17            │                             │ log4j: Unsafe deserialization flaw in Chainsaw log viewer    │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2022-23307                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.jackson:jackson-mapper-asl                      │ CVE-2019-10172 │ HIGH     │ 1.9.13            │                             │ jackson-mapper-asl: XML external entity similar to           │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ CVE-2016-3720                                                │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-10172                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.postgresql:postgresql (postgresql-9.4.1212.jar)          │ CVE-2022-21724 │ CRITICAL │ 9.4.1212          │ 42.2.25, 42.3.2             │ jdbc-postgresql: Unchecked Class Instantiation when          │
│                                                              │                │          │                   │                             │ providing Plugin Classes                                     │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2022-21724                   │
│                                                              ├────────────────┼──────────┤                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2020-13692 │ HIGH     │                   │ 42.2.13                     │ postgresql-jdbc: XML external entity (XXE) vulnerability in  │
│                                                              │                │          │                   │                             │ PgSQLXML                                                     │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2020-13692                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework.security.oauth:spring-security-oauth2    │ CVE-2018-1260  │ CRITICAL │ 2.1.0.RELEASE     │ 2.1.2, 2.0.15, 2.2.2, 2.3.3 │ spring-security-oauth: remote code execution in the          │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ authorization process                                        │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2018-1260                    │
│                                                              ├────────────────┤          │                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2019-3778  │          │                   │ 2.3.5, 2.2.4, 2.1.4, 2.0.17 │ spring-security-oauth2: Open redirect via the "redirect_uri" │
│                                                              │                │          │                   │                             │ parameter                                                    │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2019-3778                    │
│                                                              ├────────────────┼──────────┤                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2018-15758 │ HIGH     │                   │ 2.3.4, 2.2.3, 2.1.3, 2.0.16 │ spring-security-oauth: Privilege escalation by manipulating  │
│                                                              │                │          │                   │                             │ saved authorization request                                  │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2018-15758                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework.security:spring-security-core            │ CVE-2022-22978 │ CRITICAL │ 5.5.2             │ 5.5.7, 5.6.4                │ springframework: Authorization Bypass in RegexRequestMatcher │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2022-22978                   │
├──────────────────────────────────────────────────────────────┼────────────────┤          ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework:spring-beans                             │ CVE-2022-22965 │          │ 5.3.9             │ 5.3.18, 5.2.20              │ spring-framework: RCE via Data Binding on JDK 9+             │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2022-22965                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤                   ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework:spring-core                              │ CVE-2022-22968 │ HIGH     │                   │ 5.2.21, 5.3.19              │ Spring Framework: Data Binding Rules Vulnerability           │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2022-22968                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework:spring-core                              │ CVE-2022-22970 │ HIGH     │ 5.3.9             │ 5.3.20, 5.2.22.RELEASE      │ springframework: DoS via data binding to multipartFile or    │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ servlet part                                                 │
│                                                              │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2022-22970                   │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework:spring-webmvc                            │ CVE-2022-22965 │ CRITICAL │ 5.3.9             │ 5.3.18, 5.2.20              │ spring-framework: RCE via Data Binding on JDK 9+             │
│ (openid-connect-server-webapp.war)                           │                │          │                   │                             │ https://avd.aquasec.com/nvd/cve-2022-22965                   │
└──────────────────────────────────────────────────────────────┴────────────────┴──────────┴───────────────────┴─────────────────────────────┴──────────────────────────────────────────────────────────────┘

Please ignore the CVE-2022-21724 and CVE-2020-13692 since those CVE's correspond to the postgres jar file I include in the tomcat's lib folder and can be easily updated to newer version without vulnerabilites.

The text was updated successfully, but these errors were encountered:

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Several CVE's in Trivy analysis #1579

Several CVE's in Trivy analysis #1579

juananinca commented Jul 14, 2022

Several CVE's in Trivy analysis #1579

Several CVE's in Trivy analysis #1579

Comments

juananinca commented Jul 14, 2022