Several CVE's in Trivy analysis #1579
Description
I built the webapp with docker and found several cve's after analysing the image with Trivy.
Here it is the dockerfile I used:
FROM maven:3-jdk-11-slim as builder
WORKDIR /config
COPY . .
WORKDIR /openid
RUN apt -y update && \
apt -y install git && \
git clone https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server.git && \
cd OpenID-Connect-Java-Spring-Server/ && \
cp -f /config/pom.xml pom.xml && \
cp -f /config/data-context.xml openid-connect-server-webapp/src/main/webapp/WEB-INF/data-context.xml && \
cp -f /config/user-context.xml openid-connect-server-webapp/src/main/webapp/WEB-INF/user-context.xml && \
mvn -s /config/settings.xml clean install
FROM tomcat:8.5.81-jre11-openjdk-slim-buster
RUN apt -y update && \
apt -y install wget && \
cd lib && \
wget https://repo1.maven.org/maven2/org/postgresql/postgresql/9.4.1212/postgresql-9.4.1212.jar
COPY --from=builder /openid/OpenID-Connect-Java-Spring-Server/openid-connect-server-webapp/target/openid-connect-server-webapp.war /usr/local/tomcat/webapps
Note that: config folder just contain data-context and user-context config files and the pom.xml there.
- That pom.xml just override the original pom file but including the change proposed by @chirontt in Build failure on Java11+ #1575 (Build failure on Java11+ #1575 (comment))
- That settings.xml it just sets up the proxy settings.
Here it is the result of the analysis:
Total: 65 (HIGH: 42, CRITICAL: 23)
┌──────────────────────────────────────────────────────────────┬────────────────┬──────────┬───────────────────┬─────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2019-14379 │ CRITICAL │ 2.9.8 │ 2.7.9.6, 2.8.11.4, 2.9.9.2 │ jackson-databind: default typing mishandling leading to │
│ (openid-connect-server-webapp.war) │ │ │ │ │ remote code execution │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14379 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-14540 │ │ │ 2.9.10 │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ com.zaxxer.hikari.HikariConfig │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14540 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-14892 │ │ │ 2.6.7.3, 2.8.11.5, 2.9.10 │ jackson-databind: Serialization gadgets in classes of the │
│ │ │ │ │ │ commons-configuration package │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14892 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-14893 │ │ │ 2.8.11.5, 2.9.10 │ jackson-databind: Serialization gadgets in classes of the │
│ │ │ │ │ │ xalan package │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14893 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-16335 │ │ │ 2.9.10 │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ com.zaxxer.hikari.HikariDataSource │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16335 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-16942 │ │ │ 2.9.10.1 │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ org.apache.commons.dbcp.datasources.* │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16942 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-16943 │ │ │ │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ com.p6spy.engine.spy.P6DataSource │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16943 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-17267 │ │ │ 2.9.10 │ jackson-databind: Serialization gadgets in classes of the │
│ │ │ │ │ │ ehcache package │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17267 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-17531 │ │ │ 2.9.10.1 │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ org.apache.log4j.receivers.db.* │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17531 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2019-20330 │ CRITICAL │ 2.9.8 │ 2.8.11.5, 2.9.10.2 │ jackson-databind: lacks certain net.sf.ehcache blocking │
│ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20330 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-8840 │ │ │ 2.7.9.7, 2.8.11.5, 2.9.10.3 │ jackson-databind: Lacks certain xbean-reflect/JNDI blocking │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8840 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-9546 │ CRITICAL │ 2.9.8 │ 2.7.9.7, 2.8.11.6, 2.9.10.4 │ jackson-databind: Serialization gadgets in │
│ (openid-connect-server-webapp.war) │ │ │ │ │ shaded-hikari-config │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-9546 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-9547 │ CRITICAL │ 2.9.8 │ 2.7.9.7, 2.8.11.6, 2.9.10.4 │ jackson-databind: Serialization gadgets in ibatis-sqlmap │
│ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-9547 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-9548 │ │ │ │ jackson-databind: Serialization gadgets in anteros-core │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-9548 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2019-12086 │ HIGH │ 2.9.8 │ 2.7.9.6, 2.8.11.4, 2.9.9 │ jackson-databind: polymorphic typing issue allows attacker │
│ (openid-connect-server-webapp.war) │ │ │ │ │ to read arbitrary local files on... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12086 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-14439 │ │ │ 2.7.9.6, 2.8.11.4, 2.9.9.2 │ jackson-databind: Polymorphic typing issue related to │
│ │ │ │ │ │ logback/JNDI │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14439 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10672 │ │ │ 2.9.10.4 │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing which could result... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10672 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10673 │ │ │ 2.6.7.4, 2.9.10.4 │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing which could result... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10673 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10968 │ │ │ 2.9.10.4 │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ org.aoju.bus.proxy.provider.*.RmiProvider │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10968 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10969 │ │ │ 2.7.9.7, 2.8.11.6, 2.9.10.4 │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ javax.swing.JEditorPane │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10969 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-11111 │ │ │ 2.9.10.4 │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ org.apache.activemq.jms.pool.XaPooledConnectionFactory │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11111 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-11112 │ │ │ │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ org.apache.commons.proxy.provider.remoting.RmiProvider │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11112 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-11113 │ │ │ │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ org.apache.openjpa.ee.WASRegistryManagedRuntime │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11113 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-11619 │ │ │ │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ org.springframework:spring-aop │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11619 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-11620 │ │ │ │ jackson-databind: Serialization gadgets in │
│ │ │ │ │ │ commons-jelly:commons-jelly │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11620 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-14060 │ │ │ 2.9.10.5 │ jackson-databind: serialization in │
│ │ │ │ │ │ oadd.org.apache.xalan.lib.sql.JNDIConnectionPool │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14060 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-14061 │ HIGH │ 2.9.8 │ 2.9.10.5 │ jackson-databind: serialization in weblogic/oracle-aqjms │
│ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14061 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-14062 │ HIGH │ 2.9.8 │ 2.9.10.5 │ jackson-databind: serialization in │
│ (openid-connect-server-webapp.war) │ │ │ │ │ com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14062 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-14195 │ │ │ │ jackson-databind: serialization in │
│ │ │ │ │ │ org.jsecurity.realm.jndi.JndiRealmFactory │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14195 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-24616 │ HIGH │ 2.9.8 │ 2.9.10.6 │ jackson-databind: mishandles the interaction between │
│ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ br.com.anteros.dbcp.AnterosDBCPDataSource... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-24616 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-24750 │ HIGH │ 2.9.8 │ 2.9.10.6 │ jackson-databind: Serialization gadgets in │
│ (openid-connect-server-webapp.war) │ │ │ │ │ com.pastdev.httpcomponents.configuration.JndiConfiguration │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-24750 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-25649 │ │ │ 2.6.7.4, 2.9.10.7, 2.10.5.1 │ jackson-databind: FasterXML DOMDeserializer insecure entity │
│ │ │ │ │ │ expansion is vulnerable to XML external entity... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-25649 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-35490 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │
│ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.- │
│ │ │ │ │ │ .. │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35490 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-35491 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │
│ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ org.apache.commons.dbcp2.datasources.SharedPoolDataSource... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35491 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-35728 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │
│ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnecti- │
│ │ │ │ │ │ onPool... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35728 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36179 │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS.- │
│ │ │ │ │ │ .. │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36179 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-36180 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │
│ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36180 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36181 │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36181 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-36182 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │
│ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.- │
│ │ │ │ │ │ .. │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36182 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-36183 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │
│ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36183 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-36184 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │
│ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSou- │
│ │ │ │ │ │ rce... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36184 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36185 │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSour- │
│ │ │ │ │ │ ce... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36185 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36186 │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSour- │
│ │ │ │ │ │ ce... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36186 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36187 │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSourc- │
│ │ │ │ │ │ e... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36187 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36188 │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnecti- │
│ │ │ │ │ │ onSource... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36188 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-36189 │ │ │ │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing, related to │
│ │ │ │ │ │ com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManage- │
│ │ │ │ │ │ rConnectionSource... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36189 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-36518 │ HIGH │ 2.9.8 │ 2.12.6.1, 2.13.2.1 │ jackson-databind: denial of service via a large depth of │
│ (openid-connect-server-webapp.war) │ │ │ │ │ nested objects │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36518 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-20190 │ │ │ 2.9.10.7 │ jackson-databind: mishandles the interaction between │
│ │ │ │ │ │ serialization gadgets and typing, related to javax.swing... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20190 │
├──────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.code.gson:gson (openid-connect-server-webapp.war) │ CVE-2022-25647 │ │ 2.8.0 │ 2.8.9 │ com.google.code.gson-gson: Deserialization of Untrusted Data │
│ │ │ │ │ │ in com.google.code.gson-gson │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25647 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.nimbusds:nimbus-jose-jwt │ CVE-2019-17195 │ CRITICAL │ 5.4 │ 7.9 │ nimbus-jose-jwt: Uncaught exceptions while parsing a JWT │
│ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17195 │
├──────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ log4j:log4j (openid-connect-server-webapp.war) │ CVE-2019-17571 │ │ 1.2.17 │ 2.0-alpha1 │ log4j: deserialization of untrusted data in SocketServer │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17571 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ log4j:log4j (openid-connect-server-webapp.war) │ CVE-2022-23305 │ CRITICAL │ 1.2.17 │ │ log4j: SQL injection in Log4j 1.x when application is │
│ │ │ │ │ │ configured to use... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23305 │
│ ├────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23302 │ HIGH │ │ │ log4j: Remote code execution in Log4j 1.x when application │
│ │ │ │ │ │ is configured to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23302 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ log4j:log4j (openid-connect-server-webapp.war) │ CVE-2022-23307 │ HIGH │ 1.2.17 │ │ log4j: Unsafe deserialization flaw in Chainsaw log viewer │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23307 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.jackson:jackson-mapper-asl │ CVE-2019-10172 │ HIGH │ 1.9.13 │ │ jackson-mapper-asl: XML external entity similar to │
│ (openid-connect-server-webapp.war) │ │ │ │ │ CVE-2016-3720 │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-10172 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.postgresql:postgresql (postgresql-9.4.1212.jar) │ CVE-2022-21724 │ CRITICAL │ 9.4.1212 │ 42.2.25, 42.3.2 │ jdbc-postgresql: Unchecked Class Instantiation when │
│ │ │ │ │ │ providing Plugin Classes │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21724 │
│ ├────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13692 │ HIGH │ │ 42.2.13 │ postgresql-jdbc: XML external entity (XXE) vulnerability in │
│ │ │ │ │ │ PgSQLXML │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13692 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework.security.oauth:spring-security-oauth2 │ CVE-2018-1260 │ CRITICAL │ 2.1.0.RELEASE │ 2.1.2, 2.0.15, 2.2.2, 2.3.3 │ spring-security-oauth: remote code execution in the │
│ (openid-connect-server-webapp.war) │ │ │ │ │ authorization process │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1260 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-3778 │ │ │ 2.3.5, 2.2.4, 2.1.4, 2.0.17 │ spring-security-oauth2: Open redirect via the "redirect_uri" │
│ │ │ │ │ │ parameter │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3778 │
│ ├────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-15758 │ HIGH │ │ 2.3.4, 2.2.3, 2.1.3, 2.0.16 │ spring-security-oauth: Privilege escalation by manipulating │
│ │ │ │ │ │ saved authorization request │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-15758 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework.security:spring-security-core │ CVE-2022-22978 │ CRITICAL │ 5.5.2 │ 5.5.7, 5.6.4 │ springframework: Authorization Bypass in RegexRequestMatcher │
│ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22978 │
├──────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework:spring-beans │ CVE-2022-22965 │ │ 5.3.9 │ 5.3.18, 5.2.20 │ spring-framework: RCE via Data Binding on JDK 9+ │
│ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22965 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework:spring-core │ CVE-2022-22968 │ HIGH │ │ 5.2.21, 5.3.19 │ Spring Framework: Data Binding Rules Vulnerability │
│ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22968 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework:spring-core │ CVE-2022-22970 │ HIGH │ 5.3.9 │ 5.3.20, 5.2.22.RELEASE │ springframework: DoS via data binding to multipartFile or │
│ (openid-connect-server-webapp.war) │ │ │ │ │ servlet part │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22970 │
├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.springframework:spring-webmvc │ CVE-2022-22965 │ CRITICAL │ 5.3.9 │ 5.3.18, 5.2.20 │ spring-framework: RCE via Data Binding on JDK 9+ │
│ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22965 │
└──────────────────────────────────────────────────────────────┴────────────────┴──────────┴───────────────────┴─────────────────────────────┴──────────────────────────────────────────────────────────────┘
Please ignore the CVE-2022-21724 and CVE-2020-13692 since those CVE's correspond to the postgres jar file I include in the tomcat's lib folder and can be easily updated to newer version without vulnerabilites.