Open juananinca opened 1 year ago
I built the webapp with docker and found several cve's after analysing the image with Trivy.
Here it is the dockerfile I used:
FROM maven:3-jdk-11-slim as builder WORKDIR /config COPY . . WORKDIR /openid RUN apt -y update && \ apt -y install git && \ git clone https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server.git && \ cd OpenID-Connect-Java-Spring-Server/ && \ cp -f /config/pom.xml pom.xml && \ cp -f /config/data-context.xml openid-connect-server-webapp/src/main/webapp/WEB-INF/data-context.xml && \ cp -f /config/user-context.xml openid-connect-server-webapp/src/main/webapp/WEB-INF/user-context.xml && \ mvn -s /config/settings.xml clean install FROM tomcat:8.5.81-jre11-openjdk-slim-buster RUN apt -y update && \ apt -y install wget && \ cd lib && \ wget https://repo1.maven.org/maven2/org/postgresql/postgresql/9.4.1212/postgresql-9.4.1212.jar COPY --from=builder /openid/OpenID-Connect-Java-Spring-Server/openid-connect-server-webapp/target/openid-connect-server-webapp.war /usr/local/tomcat/webapps
Note that: config folder just contain data-context and user-context config files and the pom.xml there.
Here it is the result of the analysis:
Total: 65 (HIGH: 42, CRITICAL: 23) ┌──────────────────────────────────────────────────────────────┬────────────────┬──────────┬───────────────────┬─────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2019-14379 │ CRITICAL │ 2.9.8 │ 2.7.9.6, 2.8.11.4, 2.9.9.2 │ jackson-databind: default typing mishandling leading to │ │ (openid-connect-server-webapp.war) │ │ │ │ │ remote code execution │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14379 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-14540 │ │ │ 2.9.10 │ jackson-databind: Serialization gadgets in │ │ │ │ │ │ │ com.zaxxer.hikari.HikariConfig │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14540 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-14892 │ │ │ 2.6.7.3, 2.8.11.5, 2.9.10 │ jackson-databind: Serialization gadgets in classes of the │ │ │ │ │ │ │ commons-configuration package │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14892 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-14893 │ │ │ 2.8.11.5, 2.9.10 │ jackson-databind: Serialization gadgets in classes of the │ │ │ │ │ │ │ xalan package │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14893 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-16335 │ │ │ 2.9.10 │ jackson-databind: Serialization gadgets in │ │ │ │ │ │ │ com.zaxxer.hikari.HikariDataSource │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16335 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-16942 │ │ │ 2.9.10.1 │ jackson-databind: Serialization gadgets in │ │ │ │ │ │ │ org.apache.commons.dbcp.datasources.* │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16942 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-16943 │ │ │ │ jackson-databind: Serialization gadgets in │ │ │ │ │ │ │ com.p6spy.engine.spy.P6DataSource │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16943 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-17267 │ │ │ 2.9.10 │ jackson-databind: Serialization gadgets in classes of the │ │ │ │ │ │ │ ehcache package │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17267 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-17531 │ │ │ 2.9.10.1 │ jackson-databind: Serialization gadgets in │ │ │ │ │ │ │ org.apache.log4j.receivers.db.* │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17531 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2019-20330 │ CRITICAL │ 2.9.8 │ 2.8.11.5, 2.9.10.2 │ jackson-databind: lacks certain net.sf.ehcache blocking │ │ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20330 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-8840 │ │ │ 2.7.9.7, 2.8.11.5, 2.9.10.3 │ jackson-databind: Lacks certain xbean-reflect/JNDI blocking │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8840 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-9546 │ CRITICAL │ 2.9.8 │ 2.7.9.7, 2.8.11.6, 2.9.10.4 │ jackson-databind: Serialization gadgets in │ │ (openid-connect-server-webapp.war) │ │ │ │ │ shaded-hikari-config │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-9546 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-9547 │ CRITICAL │ 2.9.8 │ 2.7.9.7, 2.8.11.6, 2.9.10.4 │ jackson-databind: Serialization gadgets in ibatis-sqlmap │ │ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-9547 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-9548 │ │ │ │ jackson-databind: Serialization gadgets in anteros-core │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-9548 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2019-12086 │ HIGH │ 2.9.8 │ 2.7.9.6, 2.8.11.4, 2.9.9 │ jackson-databind: polymorphic typing issue allows attacker │ │ (openid-connect-server-webapp.war) │ │ │ │ │ to read arbitrary local files on... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12086 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-14439 │ │ │ 2.7.9.6, 2.8.11.4, 2.9.9.2 │ jackson-databind: Polymorphic typing issue related to │ │ │ │ │ │ │ logback/JNDI │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14439 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-10672 │ │ │ 2.9.10.4 │ jackson-databind: mishandles the interaction between │ │ │ │ │ │ │ serialization gadgets and typing which could result... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10672 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-10673 │ │ │ 2.6.7.4, 2.9.10.4 │ jackson-databind: mishandles the interaction between │ │ │ │ │ │ │ serialization gadgets and typing which could result... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10673 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-10968 │ │ │ 2.9.10.4 │ jackson-databind: Serialization gadgets in │ │ │ │ │ │ │ org.aoju.bus.proxy.provider.*.RmiProvider │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10968 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-10969 │ │ │ 2.7.9.7, 2.8.11.6, 2.9.10.4 │ jackson-databind: Serialization gadgets in │ │ │ │ │ │ │ javax.swing.JEditorPane │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10969 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-11111 │ │ │ 2.9.10.4 │ jackson-databind: Serialization gadgets in │ │ │ │ │ │ │ org.apache.activemq.jms.pool.XaPooledConnectionFactory │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11111 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-11112 │ │ │ │ jackson-databind: Serialization gadgets in │ │ │ │ │ │ │ org.apache.commons.proxy.provider.remoting.RmiProvider │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11112 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-11113 │ │ │ │ jackson-databind: Serialization gadgets in │ │ │ │ │ │ │ org.apache.openjpa.ee.WASRegistryManagedRuntime │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11113 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-11619 │ │ │ │ jackson-databind: Serialization gadgets in │ │ │ │ │ │ │ org.springframework:spring-aop │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11619 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-11620 │ │ │ │ jackson-databind: Serialization gadgets in │ │ │ │ │ │ │ commons-jelly:commons-jelly │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11620 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-14060 │ │ │ 2.9.10.5 │ jackson-databind: serialization in │ │ │ │ │ │ │ oadd.org.apache.xalan.lib.sql.JNDIConnectionPool │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14060 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-14061 │ HIGH │ 2.9.8 │ 2.9.10.5 │ jackson-databind: serialization in weblogic/oracle-aqjms │ │ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14061 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-14062 │ HIGH │ 2.9.8 │ 2.9.10.5 │ jackson-databind: serialization in │ │ (openid-connect-server-webapp.war) │ │ │ │ │ com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14062 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-14195 │ │ │ │ jackson-databind: serialization in │ │ │ │ │ │ │ org.jsecurity.realm.jndi.JndiRealmFactory │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14195 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-24616 │ HIGH │ 2.9.8 │ 2.9.10.6 │ jackson-databind: mishandles the interaction between │ │ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ br.com.anteros.dbcp.AnterosDBCPDataSource... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-24616 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-24750 │ HIGH │ 2.9.8 │ 2.9.10.6 │ jackson-databind: Serialization gadgets in │ │ (openid-connect-server-webapp.war) │ │ │ │ │ com.pastdev.httpcomponents.configuration.JndiConfiguration │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-24750 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-25649 │ │ │ 2.6.7.4, 2.9.10.7, 2.10.5.1 │ jackson-databind: FasterXML DOMDeserializer insecure entity │ │ │ │ │ │ │ expansion is vulnerable to XML external entity... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-25649 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-35490 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │ │ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ org.apache.commons.dbcp2.datasources.PerUserPoolDataSource.- │ │ │ │ │ │ │ .. │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35490 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-35491 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │ │ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ org.apache.commons.dbcp2.datasources.SharedPoolDataSource... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35491 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-35728 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │ │ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnecti- │ │ │ │ │ │ │ onPool... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35728 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-36179 │ │ │ │ jackson-databind: mishandles the interaction between │ │ │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS.- │ │ │ │ │ │ │ .. │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36179 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-36180 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │ │ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36180 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-36181 │ │ │ │ jackson-databind: mishandles the interaction between │ │ │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36181 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-36182 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │ │ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.- │ │ │ │ │ │ │ .. │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36182 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-36183 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │ │ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36183 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-36184 │ HIGH │ 2.9.8 │ 2.9.10.8 │ jackson-databind: mishandles the interaction between │ │ (openid-connect-server-webapp.war) │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSou- │ │ │ │ │ │ │ rce... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36184 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-36185 │ │ │ │ jackson-databind: mishandles the interaction between │ │ │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSour- │ │ │ │ │ │ │ ce... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36185 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-36186 │ │ │ │ jackson-databind: mishandles the interaction between │ │ │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSour- │ │ │ │ │ │ │ ce... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36186 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-36187 │ │ │ │ jackson-databind: mishandles the interaction between │ │ │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSourc- │ │ │ │ │ │ │ e... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36187 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-36188 │ │ │ │ jackson-databind: mishandles the interaction between │ │ │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnecti- │ │ │ │ │ │ │ onSource... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36188 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-36189 │ │ │ │ jackson-databind: mishandles the interaction between │ │ │ │ │ │ │ serialization gadgets and typing, related to │ │ │ │ │ │ │ com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManage- │ │ │ │ │ │ │ rConnectionSource... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36189 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.fasterxml.jackson.core:jackson-databind │ CVE-2020-36518 │ HIGH │ 2.9.8 │ 2.12.6.1, 2.13.2.1 │ jackson-databind: denial of service via a large depth of │ │ (openid-connect-server-webapp.war) │ │ │ │ │ nested objects │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36518 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-20190 │ │ │ 2.9.10.7 │ jackson-databind: mishandles the interaction between │ │ │ │ │ │ │ serialization gadgets and typing, related to javax.swing... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20190 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.google.code.gson:gson (openid-connect-server-webapp.war) │ CVE-2022-25647 │ │ 2.8.0 │ 2.8.9 │ com.google.code.gson-gson: Deserialization of Untrusted Data │ │ │ │ │ │ │ in com.google.code.gson-gson │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25647 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.nimbusds:nimbus-jose-jwt │ CVE-2019-17195 │ CRITICAL │ 5.4 │ 7.9 │ nimbus-jose-jwt: Uncaught exceptions while parsing a JWT │ │ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17195 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ log4j:log4j (openid-connect-server-webapp.war) │ CVE-2019-17571 │ │ 1.2.17 │ 2.0-alpha1 │ log4j: deserialization of untrusted data in SocketServer │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17571 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ log4j:log4j (openid-connect-server-webapp.war) │ CVE-2022-23305 │ CRITICAL │ 1.2.17 │ │ log4j: SQL injection in Log4j 1.x when application is │ │ │ │ │ │ │ configured to use... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23305 │ │ ├────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-23302 │ HIGH │ │ │ log4j: Remote code execution in Log4j 1.x when application │ │ │ │ │ │ │ is configured to... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23302 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ log4j:log4j (openid-connect-server-webapp.war) │ CVE-2022-23307 │ HIGH │ 1.2.17 │ │ log4j: Unsafe deserialization flaw in Chainsaw log viewer │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23307 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.codehaus.jackson:jackson-mapper-asl │ CVE-2019-10172 │ HIGH │ 1.9.13 │ │ jackson-mapper-asl: XML external entity similar to │ │ (openid-connect-server-webapp.war) │ │ │ │ │ CVE-2016-3720 │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-10172 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.postgresql:postgresql (postgresql-9.4.1212.jar) │ CVE-2022-21724 │ CRITICAL │ 9.4.1212 │ 42.2.25, 42.3.2 │ jdbc-postgresql: Unchecked Class Instantiation when │ │ │ │ │ │ │ providing Plugin Classes │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21724 │ │ ├────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-13692 │ HIGH │ │ 42.2.13 │ postgresql-jdbc: XML external entity (XXE) vulnerability in │ │ │ │ │ │ │ PgSQLXML │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13692 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework.security.oauth:spring-security-oauth2 │ CVE-2018-1260 │ CRITICAL │ 2.1.0.RELEASE │ 2.1.2, 2.0.15, 2.2.2, 2.3.3 │ spring-security-oauth: remote code execution in the │ │ (openid-connect-server-webapp.war) │ │ │ │ │ authorization process │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1260 │ │ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-3778 │ │ │ 2.3.5, 2.2.4, 2.1.4, 2.0.17 │ spring-security-oauth2: Open redirect via the "redirect_uri" │ │ │ │ │ │ │ parameter │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3778 │ │ ├────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2018-15758 │ HIGH │ │ 2.3.4, 2.2.3, 2.1.3, 2.0.16 │ spring-security-oauth: Privilege escalation by manipulating │ │ │ │ │ │ │ saved authorization request │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-15758 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework.security:spring-security-core │ CVE-2022-22978 │ CRITICAL │ 5.5.2 │ 5.5.7, 5.6.4 │ springframework: Authorization Bypass in RegexRequestMatcher │ │ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22978 │ ├──────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework:spring-beans │ CVE-2022-22965 │ │ 5.3.9 │ 5.3.18, 5.2.20 │ spring-framework: RCE via Data Binding on JDK 9+ │ │ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22965 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework:spring-core │ CVE-2022-22968 │ HIGH │ │ 5.2.21, 5.3.19 │ Spring Framework: Data Binding Rules Vulnerability │ │ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22968 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework:spring-core │ CVE-2022-22970 │ HIGH │ 5.3.9 │ 5.3.20, 5.2.22.RELEASE │ springframework: DoS via data binding to multipartFile or │ │ (openid-connect-server-webapp.war) │ │ │ │ │ servlet part │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22970 │ ├──────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.springframework:spring-webmvc │ CVE-2022-22965 │ CRITICAL │ 5.3.9 │ 5.3.18, 5.2.20 │ spring-framework: RCE via Data Binding on JDK 9+ │ │ (openid-connect-server-webapp.war) │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22965 │ └──────────────────────────────────────────────────────────────┴────────────────┴──────────┴───────────────────┴─────────────────────────────┴──────────────────────────────────────────────────────────────┘
Please ignore the CVE-2022-21724 and CVE-2020-13692 since those CVE's correspond to the postgres jar file I include in the tomcat's lib folder and can be easily updated to newer version without vulnerabilites.
I built the webapp with docker and found several cve's after analysing the image with Trivy.
Here it is the dockerfile I used:
Note that: config folder just contain data-context and user-context config files and the pom.xml there.
Here it is the result of the analysis:
Please ignore the CVE-2022-21724 and CVE-2020-13692 since those CVE's correspond to the postgres jar file I include in the tomcat's lib folder and can be easily updated to newer version without vulnerabilites.