diff --git a/oval/c10f1/ALT-PU-2019-2262/definitions.json b/oval/c10f1/ALT-PU-2019-2262/definitions.json index e15e90cc74..fc39c08ba6 100644 --- a/oval/c10f1/ALT-PU-2019-2262/definitions.json +++ b/oval/c10f1/ALT-PU-2019-2262/definitions.json @@ -140,7 +140,7 @@ "Source": "CVE" } ], - "Description": "This update upgrades jackson-databind to version 2.9.8-alt1_1jpp8. \nSecurity Fix(es):\n\n * BDU:2018-00945: Уязвимость компонента ObjectMapper библиотеки FasterXML jackson-databind, позволяющая нарушителю обойти ограничения «черного списка» и выполнить произвольный код\n\n * BDU:2019-00296: Уязвимость компонента Core (jackson-databind) приложения для автоматизации процессов управления проектами Primavera Unifier, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании\n\n * BDU:2019-01372: Уязвимость библиотеки Jackson-databind, вызванная отсутствием защиты класса slf4j-ext от полиморфной десериализации, позволяющая нарушителю выполнить произвольный код\n\n * BDU:2019-01755: Уязвимость библиотеки jackson-databind, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку\n\n * BDU:2019-01756: Уязвимость библиотеки jackson-databind, связанная с ошибкой ограничения XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку\n\n * BDU:2019-01757: Уязвимость библиотеки jackson-databind, связанная с восстановленим в памяти недостоверной структуры данных, позволяющая нарушителю выполнить произвольный код\n\n * BDU:2019-01765: Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-01766: Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-01771: Уязвимость библиотеки jackson-databind, связанная с недостатками механизма десериализации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-02896: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании\n\n * BDU:2019-02897: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании\n\n * BDU:2019-02898: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании\n\n * CVE-2018-11307: An issue was discovered in FasterXML jackson-databind 2.0.0 through 2.9.5. Use of Jackson default typing along with a gadget class from iBatis allows exfiltration of content. Fixed in 2.7.9.4, 2.8.11.2, and 2.9.6.\n\n * CVE-2018-12022: An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Jodd-db jar (for database access for the Jodd framework) in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.\n\n * CVE-2018-12023: An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Oracle JDBC jar in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.\n\n * CVE-2018-14718: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the slf4j-ext class from polymorphic deserialization.\n\n * CVE-2018-14719: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the blaze-ds-opt and blaze-ds-core classes from polymorphic deserialization.\n\n * CVE-2018-14720: FasterXML jackson-databind 2.x before 2.9.7 might allow attackers to conduct external XML entity (XXE) attacks by leveraging failure to block unspecified JDK classes from polymorphic deserialization.\n\n * CVE-2018-14721: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to conduct server-side request forgery (SSRF) attacks by leveraging failure to block the axis2-jaxws class from polymorphic deserialization.\n\n * CVE-2018-19360: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the axis2-transport-jms class from polymorphic deserialization.\n\n * CVE-2018-19361: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the openjpa class from polymorphic deserialization.\n\n * CVE-2018-19362: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the jboss-common-core class from polymorphic deserialization.\n\n * CVE-2018-7489: FasterXML jackson-databind before 2.7.9.3, 2.8.x before 2.8.11.1 and 2.9.x before 2.9.5 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 deserialization flaw. This is exploitable by sending maliciously crafted JSON input to the readValue method of the ObjectMapper, bypassing a blacklist that is ineffective if the c3p0 libraries are available in the classpath.", + "Description": "This update upgrades jackson-databind to version 2.9.8-alt1_1jpp8. \nSecurity Fix(es):\n\n * BDU:2018-00945: Уязвимость компонента ObjectMapper библиотеки FasterXML jackson-databind, позволяющая нарушителю обойти ограничения «черного списка» и выполнить произвольный код\n\n * BDU:2019-00296: Уязвимость компонента Core (jackson-databind) приложения для автоматизации процессов управления проектами Primavera Unifier, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании\n\n * BDU:2019-01372: Уязвимость библиотеки Jackson-databind, вызванная отсутствием защиты класса slf4j-ext от полиморфной десериализации, позволяющая нарушителю выполнить произвольный код\n\n * BDU:2019-01755: Уязвимость библиотеки jackson-databind, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку\n\n * BDU:2019-01756: Уязвимость библиотеки jackson-databind, связанная с ошибкой ограничения XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку\n\n * BDU:2019-01757: Уязвимость библиотеки jackson-databind, связанная с восстановленим в памяти недостоверной структуры данных, позволяющая нарушителю выполнить произвольный код\n\n * BDU:2019-01765: Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-01766: Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-01771: Уязвимость библиотеки jackson-databind, связанная с недостатками механизма десериализации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-02896: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании\n\n * BDU:2019-02897: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании\n\n * BDU:2019-02898: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании\n\n * CVE-2018-11307: An issue was discovered in FasterXML jackson-databind 2.0.0 through 2.9.5. Use of Jackson default typing along with a gadget class from iBatis allows exfiltration of content. Fixed in 2.7.9.4, 2.8.11.2, and 2.9.6.\n\n * CVE-2018-12022: An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Jodd-db jar (for database access for the Jodd framework) in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.\n\n * CVE-2018-12023: An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Oracle JDBC jar in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.\n\n * CVE-2018-14718: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the slf4j-ext class from polymorphic deserialization.\n\n * CVE-2018-14719: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the blaze-ds-opt and blaze-ds-core classes from polymorphic deserialization.\n\n * CVE-2018-14720: FasterXML jackson-databind 2.x before 2.9.7 might allow attackers to conduct external XML entity (XXE) attacks by leveraging failure to block unspecified JDK classes from polymorphic deserialization.\n\n * CVE-2018-14721: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to conduct server-side request forgery (SSRF) attacks by leveraging failure to block the axis2-jaxws class from polymorphic deserialization.\n\n * CVE-2018-19360: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the axis2-transport-jms class from polymorphic deserialization.\n\n * CVE-2018-19361: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the openjpa class from polymorphic deserialization.\n\n * CVE-2018-19362: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the jboss-common-core class from polymorphic deserialization.\n\n * CVE-2018-7489: FasterXML jackson-databind before 2.7.9.3, 2.8.x before 2.8.11.1 and 2.9.x before 2.9.5 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 deserialization flaw. This is exploitable by sending maliciously crafted JSON input to the readValue method of the ObjectMapper, bypassing a blacklist that is ineffective if the c3p0 libraries are available in the classpath.", "Advisory": { "From": "errata.altlinux.org", "Severity": "Critical", diff --git a/oval/c10f1/ALT-PU-2020-2258/definitions.json b/oval/c10f1/ALT-PU-2020-2258/definitions.json index 4ab06c248c..102d851f15 100644 --- a/oval/c10f1/ALT-PU-2020-2258/definitions.json +++ b/oval/c10f1/ALT-PU-2020-2258/definitions.json @@ -62,6 +62,7 @@ "ID": "CVE-2020-4044", "CVSS": "AV:L/AC:L/Au:N/C:P/I:P/A:P", "CVSS3": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-121", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2020-4044", "Impact": "High", "Public": "20200630" diff --git a/oval/c10f1/ALT-PU-2022-3387/definitions.json b/oval/c10f1/ALT-PU-2022-3387/definitions.json index 4c6dbd9c91..82c7943966 100644 --- a/oval/c10f1/ALT-PU-2022-3387/definitions.json +++ b/oval/c10f1/ALT-PU-2022-3387/definitions.json @@ -240,6 +240,7 @@ { "ID": "CVE-2022-23477", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23477", "Impact": "Critical", "Public": "20221209" @@ -247,6 +248,7 @@ { "ID": "CVE-2022-23478", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-787", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23478", "Impact": "Critical", "Public": "20221209" @@ -254,6 +256,7 @@ { "ID": "CVE-2022-23479", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23479", "Impact": "Critical", "Public": "20221209" @@ -261,6 +264,7 @@ { "ID": "CVE-2022-23480", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23480", "Impact": "Critical", "Public": "20221209" @@ -268,6 +272,7 @@ { "ID": "CVE-2022-23481", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23481", "Impact": "Critical", "Public": "20221209" @@ -275,6 +280,7 @@ { "ID": "CVE-2022-23482", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23482", "Impact": "Critical", "Public": "20221209" @@ -282,6 +288,7 @@ { "ID": "CVE-2022-23483", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23483", "Impact": "Critical", "Public": "20221209" @@ -289,6 +296,7 @@ { "ID": "CVE-2022-23484", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-190", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23484", "Impact": "Critical", "Public": "20221209" @@ -296,6 +304,7 @@ { "ID": "CVE-2022-23493", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23493", "Impact": "Critical", "Public": "20221209" diff --git a/oval/c10f1/ALT-PU-2024-16008/definitions.json b/oval/c10f1/ALT-PU-2024-16008/definitions.json index 132e79689d..d7c67afdcf 100644 --- a/oval/c10f1/ALT-PU-2024-16008/definitions.json +++ b/oval/c10f1/ALT-PU-2024-16008/definitions.json @@ -125,14 +125,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/c10f1/ALT-PU-2024-16010/definitions.json b/oval/c10f1/ALT-PU-2024-16010/definitions.json index dea584bced..d522e172c6 100644 --- a/oval/c10f1/ALT-PU-2024-16010/definitions.json +++ b/oval/c10f1/ALT-PU-2024-16010/definitions.json @@ -125,14 +125,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/c10f1/ALT-PU-2024-16011/definitions.json b/oval/c10f1/ALT-PU-2024-16011/definitions.json index 38a8cf1cec..054ac00ec0 100644 --- a/oval/c10f1/ALT-PU-2024-16011/definitions.json +++ b/oval/c10f1/ALT-PU-2024-16011/definitions.json @@ -125,14 +125,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/c10f1/ALT-PU-2024-16012/definitions.json b/oval/c10f1/ALT-PU-2024-16012/definitions.json index 2a53ce11d7..2bd82aa765 100644 --- a/oval/c10f1/ALT-PU-2024-16012/definitions.json +++ b/oval/c10f1/ALT-PU-2024-16012/definitions.json @@ -125,14 +125,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/c10f1/ALT-PU-2024-16013/definitions.json b/oval/c10f1/ALT-PU-2024-16013/definitions.json index edac8c6ee8..54dafa8e02 100644 --- a/oval/c10f1/ALT-PU-2024-16013/definitions.json +++ b/oval/c10f1/ALT-PU-2024-16013/definitions.json @@ -125,14 +125,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/c9f2/ALT-PU-2020-2333/definitions.json b/oval/c9f2/ALT-PU-2020-2333/definitions.json index 9974b38648..ede9c7ec9e 100644 --- a/oval/c9f2/ALT-PU-2020-2333/definitions.json +++ b/oval/c9f2/ALT-PU-2020-2333/definitions.json @@ -62,6 +62,7 @@ "ID": "CVE-2020-4044", "CVSS": "AV:L/AC:L/Au:N/C:P/I:P/A:P", "CVSS3": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-121", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2020-4044", "Impact": "High", "Public": "20200630" diff --git a/oval/c9f2/ALT-PU-2022-3404/definitions.json b/oval/c9f2/ALT-PU-2022-3404/definitions.json index 9b28b24e21..abaaec0f02 100644 --- a/oval/c9f2/ALT-PU-2022-3404/definitions.json +++ b/oval/c9f2/ALT-PU-2022-3404/definitions.json @@ -259,6 +259,7 @@ { "ID": "CVE-2022-23477", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23477", "Impact": "Critical", "Public": "20221209" @@ -266,6 +267,7 @@ { "ID": "CVE-2022-23478", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-787", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23478", "Impact": "Critical", "Public": "20221209" @@ -273,6 +275,7 @@ { "ID": "CVE-2022-23479", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23479", "Impact": "Critical", "Public": "20221209" @@ -280,6 +283,7 @@ { "ID": "CVE-2022-23480", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23480", "Impact": "Critical", "Public": "20221209" @@ -287,6 +291,7 @@ { "ID": "CVE-2022-23481", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23481", "Impact": "Critical", "Public": "20221209" @@ -294,6 +299,7 @@ { "ID": "CVE-2022-23482", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23482", "Impact": "Critical", "Public": "20221209" @@ -301,6 +307,7 @@ { "ID": "CVE-2022-23483", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23483", "Impact": "Critical", "Public": "20221209" @@ -308,6 +315,7 @@ { "ID": "CVE-2022-23484", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-190", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23484", "Impact": "Critical", "Public": "20221209" @@ -315,6 +323,7 @@ { "ID": "CVE-2022-23493", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23493", "Impact": "Critical", "Public": "20221209" diff --git a/oval/c9f2/ALT-PU-2024-15905/definitions.json b/oval/c9f2/ALT-PU-2024-15905/definitions.json index c8276e43b6..40e7e01a59 100644 --- a/oval/c9f2/ALT-PU-2024-15905/definitions.json +++ b/oval/c9f2/ALT-PU-2024-15905/definitions.json @@ -125,14 +125,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/c9f2/ALT-PU-2024-15907/definitions.json b/oval/c9f2/ALT-PU-2024-15907/definitions.json index 17182e4361..2001181362 100644 --- a/oval/c9f2/ALT-PU-2024-15907/definitions.json +++ b/oval/c9f2/ALT-PU-2024-15907/definitions.json @@ -125,14 +125,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p10/ALT-PU-2019-2262/definitions.json b/oval/p10/ALT-PU-2019-2262/definitions.json index 2174fa80aa..38988197b4 100644 --- a/oval/p10/ALT-PU-2019-2262/definitions.json +++ b/oval/p10/ALT-PU-2019-2262/definitions.json @@ -146,7 +146,7 @@ "Source": "CVE" } ], - "Description": "This update upgrades jackson-databind to version 2.9.8-alt1_1jpp8. \nSecurity Fix(es):\n\n * BDU:2018-00945: Уязвимость компонента ObjectMapper библиотеки FasterXML jackson-databind, позволяющая нарушителю обойти ограничения «черного списка» и выполнить произвольный код\n\n * BDU:2019-00296: Уязвимость компонента Core (jackson-databind) приложения для автоматизации процессов управления проектами Primavera Unifier, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании\n\n * BDU:2019-01372: Уязвимость библиотеки Jackson-databind, вызванная отсутствием защиты класса slf4j-ext от полиморфной десериализации, позволяющая нарушителю выполнить произвольный код\n\n * BDU:2019-01755: Уязвимость библиотеки jackson-databind, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку\n\n * BDU:2019-01756: Уязвимость библиотеки jackson-databind, связанная с ошибкой ограничения XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку\n\n * BDU:2019-01757: Уязвимость библиотеки jackson-databind, связанная с восстановленим в памяти недостоверной структуры данных, позволяющая нарушителю выполнить произвольный код\n\n * BDU:2019-01765: Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-01766: Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-01771: Уязвимость библиотеки jackson-databind, связанная с недостатками механизма десериализации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-02896: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании\n\n * BDU:2019-02897: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании\n\n * BDU:2019-02898: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании\n\n * CVE-2018-11307: An issue was discovered in FasterXML jackson-databind 2.0.0 through 2.9.5. Use of Jackson default typing along with a gadget class from iBatis allows exfiltration of content. Fixed in 2.7.9.4, 2.8.11.2, and 2.9.6.\n\n * CVE-2018-12022: An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Jodd-db jar (for database access for the Jodd framework) in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.\n\n * CVE-2018-12023: An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Oracle JDBC jar in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.\n\n * CVE-2018-14718: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the slf4j-ext class from polymorphic deserialization.\n\n * CVE-2018-14719: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the blaze-ds-opt and blaze-ds-core classes from polymorphic deserialization.\n\n * CVE-2018-14720: FasterXML jackson-databind 2.x before 2.9.7 might allow attackers to conduct external XML entity (XXE) attacks by leveraging failure to block unspecified JDK classes from polymorphic deserialization.\n\n * CVE-2018-14721: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to conduct server-side request forgery (SSRF) attacks by leveraging failure to block the axis2-jaxws class from polymorphic deserialization.\n\n * CVE-2018-19360: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the axis2-transport-jms class from polymorphic deserialization.\n\n * CVE-2018-19361: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the openjpa class from polymorphic deserialization.\n\n * CVE-2018-19362: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the jboss-common-core class from polymorphic deserialization.\n\n * CVE-2018-7489: FasterXML jackson-databind before 2.7.9.3, 2.8.x before 2.8.11.1 and 2.9.x before 2.9.5 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 deserialization flaw. This is exploitable by sending maliciously crafted JSON input to the readValue method of the ObjectMapper, bypassing a blacklist that is ineffective if the c3p0 libraries are available in the classpath.", + "Description": "This update upgrades jackson-databind to version 2.9.8-alt1_1jpp8. \nSecurity Fix(es):\n\n * BDU:2018-00945: Уязвимость компонента ObjectMapper библиотеки FasterXML jackson-databind, позволяющая нарушителю обойти ограничения «черного списка» и выполнить произвольный код\n\n * BDU:2019-00296: Уязвимость компонента Core (jackson-databind) приложения для автоматизации процессов управления проектами Primavera Unifier, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании\n\n * BDU:2019-01372: Уязвимость библиотеки Jackson-databind, вызванная отсутствием защиты класса slf4j-ext от полиморфной десериализации, позволяющая нарушителю выполнить произвольный код\n\n * BDU:2019-01755: Уязвимость библиотеки jackson-databind, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку\n\n * BDU:2019-01756: Уязвимость библиотеки jackson-databind, связанная с ошибкой ограничения XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку\n\n * BDU:2019-01757: Уязвимость библиотеки jackson-databind, связанная с восстановленим в памяти недостоверной структуры данных, позволяющая нарушителю выполнить произвольный код\n\n * BDU:2019-01765: Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-01766: Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-01771: Уязвимость библиотеки jackson-databind, связанная с недостатками механизма десериализации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-02896: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании\n\n * BDU:2019-02897: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании\n\n * BDU:2019-02898: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании\n\n * CVE-2018-11307: An issue was discovered in FasterXML jackson-databind 2.0.0 through 2.9.5. Use of Jackson default typing along with a gadget class from iBatis allows exfiltration of content. Fixed in 2.7.9.4, 2.8.11.2, and 2.9.6.\n\n * CVE-2018-12022: An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Jodd-db jar (for database access for the Jodd framework) in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.\n\n * CVE-2018-12023: An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Oracle JDBC jar in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.\n\n * CVE-2018-14718: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the slf4j-ext class from polymorphic deserialization.\n\n * CVE-2018-14719: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the blaze-ds-opt and blaze-ds-core classes from polymorphic deserialization.\n\n * CVE-2018-14720: FasterXML jackson-databind 2.x before 2.9.7 might allow attackers to conduct external XML entity (XXE) attacks by leveraging failure to block unspecified JDK classes from polymorphic deserialization.\n\n * CVE-2018-14721: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to conduct server-side request forgery (SSRF) attacks by leveraging failure to block the axis2-jaxws class from polymorphic deserialization.\n\n * CVE-2018-19360: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the axis2-transport-jms class from polymorphic deserialization.\n\n * CVE-2018-19361: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the openjpa class from polymorphic deserialization.\n\n * CVE-2018-19362: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the jboss-common-core class from polymorphic deserialization.\n\n * CVE-2018-7489: FasterXML jackson-databind before 2.7.9.3, 2.8.x before 2.8.11.1 and 2.9.x before 2.9.5 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 deserialization flaw. This is exploitable by sending maliciously crafted JSON input to the readValue method of the ObjectMapper, bypassing a blacklist that is ineffective if the c3p0 libraries are available in the classpath.", "Advisory": { "From": "errata.altlinux.org", "Severity": "Critical", diff --git a/oval/p10/ALT-PU-2020-2258/definitions.json b/oval/p10/ALT-PU-2020-2258/definitions.json index 263cf901c9..81d39270f9 100644 --- a/oval/p10/ALT-PU-2020-2258/definitions.json +++ b/oval/p10/ALT-PU-2020-2258/definitions.json @@ -68,6 +68,7 @@ "ID": "CVE-2020-4044", "CVSS": "AV:L/AC:L/Au:N/C:P/I:P/A:P", "CVSS3": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-121", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2020-4044", "Impact": "High", "Public": "20200630" diff --git a/oval/p10/ALT-PU-2022-3387/definitions.json b/oval/p10/ALT-PU-2022-3387/definitions.json index b0483766a3..02e8dcd7d4 100644 --- a/oval/p10/ALT-PU-2022-3387/definitions.json +++ b/oval/p10/ALT-PU-2022-3387/definitions.json @@ -246,6 +246,7 @@ { "ID": "CVE-2022-23477", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23477", "Impact": "Critical", "Public": "20221209" @@ -253,6 +254,7 @@ { "ID": "CVE-2022-23478", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-787", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23478", "Impact": "Critical", "Public": "20221209" @@ -260,6 +262,7 @@ { "ID": "CVE-2022-23479", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23479", "Impact": "Critical", "Public": "20221209" @@ -267,6 +270,7 @@ { "ID": "CVE-2022-23480", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23480", "Impact": "Critical", "Public": "20221209" @@ -274,6 +278,7 @@ { "ID": "CVE-2022-23481", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23481", "Impact": "Critical", "Public": "20221209" @@ -281,6 +286,7 @@ { "ID": "CVE-2022-23482", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23482", "Impact": "Critical", "Public": "20221209" @@ -288,6 +294,7 @@ { "ID": "CVE-2022-23483", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23483", "Impact": "Critical", "Public": "20221209" @@ -295,6 +302,7 @@ { "ID": "CVE-2022-23484", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-190", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23484", "Impact": "Critical", "Public": "20221209" @@ -302,6 +310,7 @@ { "ID": "CVE-2022-23493", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23493", "Impact": "Critical", "Public": "20221209" diff --git a/oval/p10/ALT-PU-2024-16159/definitions.json b/oval/p10/ALT-PU-2024-16159/definitions.json index 266fcc1204..87ce5b6efb 100644 --- a/oval/p10/ALT-PU-2024-16159/definitions.json +++ b/oval/p10/ALT-PU-2024-16159/definitions.json @@ -131,14 +131,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p10/ALT-PU-2024-16161/definitions.json b/oval/p10/ALT-PU-2024-16161/definitions.json index 28b53ff271..de69af0096 100644 --- a/oval/p10/ALT-PU-2024-16161/definitions.json +++ b/oval/p10/ALT-PU-2024-16161/definitions.json @@ -131,14 +131,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p10/ALT-PU-2024-16162/definitions.json b/oval/p10/ALT-PU-2024-16162/definitions.json index 5e0258ae10..622c3cd474 100644 --- a/oval/p10/ALT-PU-2024-16162/definitions.json +++ b/oval/p10/ALT-PU-2024-16162/definitions.json @@ -131,14 +131,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p10/ALT-PU-2024-16163/definitions.json b/oval/p10/ALT-PU-2024-16163/definitions.json index 29d209261d..f53696eb57 100644 --- a/oval/p10/ALT-PU-2024-16163/definitions.json +++ b/oval/p10/ALT-PU-2024-16163/definitions.json @@ -131,14 +131,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p10/ALT-PU-2024-16164/definitions.json b/oval/p10/ALT-PU-2024-16164/definitions.json index 2f458b06a5..55de96e17a 100644 --- a/oval/p10/ALT-PU-2024-16164/definitions.json +++ b/oval/p10/ALT-PU-2024-16164/definitions.json @@ -131,14 +131,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p10/ALT-PU-2024-16165/definitions.json b/oval/p10/ALT-PU-2024-16165/definitions.json index 57bdc7d964..8e7951b43e 100644 --- a/oval/p10/ALT-PU-2024-16165/definitions.json +++ b/oval/p10/ALT-PU-2024-16165/definitions.json @@ -131,14 +131,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p11/ALT-PU-2019-2262/definitions.json b/oval/p11/ALT-PU-2019-2262/definitions.json index 69bf1cf0fc..e901cbb4cc 100644 --- a/oval/p11/ALT-PU-2019-2262/definitions.json +++ b/oval/p11/ALT-PU-2019-2262/definitions.json @@ -139,7 +139,7 @@ "Source": "CVE" } ], - "Description": "This update upgrades jackson-databind to version 2.9.8-alt1_1jpp8. \nSecurity Fix(es):\n\n * BDU:2018-00945: Уязвимость компонента ObjectMapper библиотеки FasterXML jackson-databind, позволяющая нарушителю обойти ограничения «черного списка» и выполнить произвольный код\n\n * BDU:2019-00296: Уязвимость компонента Core (jackson-databind) приложения для автоматизации процессов управления проектами Primavera Unifier, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании\n\n * BDU:2019-01372: Уязвимость библиотеки Jackson-databind, вызванная отсутствием защиты класса slf4j-ext от полиморфной десериализации, позволяющая нарушителю выполнить произвольный код\n\n * BDU:2019-01755: Уязвимость библиотеки jackson-databind, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку\n\n * BDU:2019-01756: Уязвимость библиотеки jackson-databind, связанная с ошибкой ограничения XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку\n\n * BDU:2019-01757: Уязвимость библиотеки jackson-databind, связанная с восстановленим в памяти недостоверной структуры данных, позволяющая нарушителю выполнить произвольный код\n\n * BDU:2019-01765: Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-01766: Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-01771: Уязвимость библиотеки jackson-databind, связанная с недостатками механизма десериализации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-02896: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании\n\n * BDU:2019-02897: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании\n\n * BDU:2019-02898: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании\n\n * CVE-2018-11307: An issue was discovered in FasterXML jackson-databind 2.0.0 through 2.9.5. Use of Jackson default typing along with a gadget class from iBatis allows exfiltration of content. Fixed in 2.7.9.4, 2.8.11.2, and 2.9.6.\n\n * CVE-2018-12022: An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Jodd-db jar (for database access for the Jodd framework) in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.\n\n * CVE-2018-12023: An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Oracle JDBC jar in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.\n\n * CVE-2018-14718: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the slf4j-ext class from polymorphic deserialization.\n\n * CVE-2018-14719: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the blaze-ds-opt and blaze-ds-core classes from polymorphic deserialization.\n\n * CVE-2018-14720: FasterXML jackson-databind 2.x before 2.9.7 might allow attackers to conduct external XML entity (XXE) attacks by leveraging failure to block unspecified JDK classes from polymorphic deserialization.\n\n * CVE-2018-14721: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to conduct server-side request forgery (SSRF) attacks by leveraging failure to block the axis2-jaxws class from polymorphic deserialization.\n\n * CVE-2018-19360: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the axis2-transport-jms class from polymorphic deserialization.\n\n * CVE-2018-19361: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the openjpa class from polymorphic deserialization.\n\n * CVE-2018-19362: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the jboss-common-core class from polymorphic deserialization.\n\n * CVE-2018-7489: FasterXML jackson-databind before 2.7.9.3, 2.8.x before 2.8.11.1 and 2.9.x before 2.9.5 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 deserialization flaw. This is exploitable by sending maliciously crafted JSON input to the readValue method of the ObjectMapper, bypassing a blacklist that is ineffective if the c3p0 libraries are available in the classpath.", + "Description": "This update upgrades jackson-databind to version 2.9.8-alt1_1jpp8. \nSecurity Fix(es):\n\n * BDU:2018-00945: Уязвимость компонента ObjectMapper библиотеки FasterXML jackson-databind, позволяющая нарушителю обойти ограничения «черного списка» и выполнить произвольный код\n\n * BDU:2019-00296: Уязвимость компонента Core (jackson-databind) приложения для автоматизации процессов управления проектами Primavera Unifier, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании\n\n * BDU:2019-01372: Уязвимость библиотеки Jackson-databind, вызванная отсутствием защиты класса slf4j-ext от полиморфной десериализации, позволяющая нарушителю выполнить произвольный код\n\n * BDU:2019-01755: Уязвимость библиотеки jackson-databind, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку\n\n * BDU:2019-01756: Уязвимость библиотеки jackson-databind, связанная с ошибкой ограничения XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку\n\n * BDU:2019-01757: Уязвимость библиотеки jackson-databind, связанная с восстановленим в памяти недостоверной структуры данных, позволяющая нарушителю выполнить произвольный код\n\n * BDU:2019-01765: Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-01766: Уязвимость библиотеки jackson-databind, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-01771: Уязвимость библиотеки jackson-databind, связанная с недостатками механизма десериализации, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации\n\n * BDU:2019-02896: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании\n\n * BDU:2019-02897: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании\n\n * BDU:2019-02898: Уязвимость функции FasterXML Java-библиотеки для грамматического разбора JSON файлов jackson-databind, позволяющая нарушителю оказать воздействие на целостность данных, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании\n\n * CVE-2018-11307: An issue was discovered in FasterXML jackson-databind 2.0.0 through 2.9.5. Use of Jackson default typing along with a gadget class from iBatis allows exfiltration of content. Fixed in 2.7.9.4, 2.8.11.2, and 2.9.6.\n\n * CVE-2018-12022: An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Jodd-db jar (for database access for the Jodd framework) in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.\n\n * CVE-2018-12023: An issue was discovered in FasterXML jackson-databind prior to 2.7.9.4, 2.8.11.2, and 2.9.6. When Default Typing is enabled (either globally or for a specific property), the service has the Oracle JDBC jar in the classpath, and an attacker can provide an LDAP service to access, it is possible to make the service execute a malicious payload.\n\n * CVE-2018-14718: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the slf4j-ext class from polymorphic deserialization.\n\n * CVE-2018-14719: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to execute arbitrary code by leveraging failure to block the blaze-ds-opt and blaze-ds-core classes from polymorphic deserialization.\n\n * CVE-2018-14720: FasterXML jackson-databind 2.x before 2.9.7 might allow attackers to conduct external XML entity (XXE) attacks by leveraging failure to block unspecified JDK classes from polymorphic deserialization.\n\n * CVE-2018-14721: FasterXML jackson-databind 2.x before 2.9.7 might allow remote attackers to conduct server-side request forgery (SSRF) attacks by leveraging failure to block the axis2-jaxws class from polymorphic deserialization.\n\n * CVE-2018-19360: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the axis2-transport-jms class from polymorphic deserialization.\n\n * CVE-2018-19361: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the openjpa class from polymorphic deserialization.\n\n * CVE-2018-19362: FasterXML jackson-databind 2.x before 2.9.8 might allow attackers to have unspecified impact by leveraging failure to block the jboss-common-core class from polymorphic deserialization.\n\n * CVE-2018-7489: FasterXML jackson-databind before 2.7.9.3, 2.8.x before 2.8.11.1 and 2.9.x before 2.9.5 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 deserialization flaw. This is exploitable by sending maliciously crafted JSON input to the readValue method of the ObjectMapper, bypassing a blacklist that is ineffective if the c3p0 libraries are available in the classpath.", "Advisory": { "From": "errata.altlinux.org", "Severity": "Critical", diff --git a/oval/p11/ALT-PU-2020-2258/definitions.json b/oval/p11/ALT-PU-2020-2258/definitions.json index 369413f604..deef73dcf6 100644 --- a/oval/p11/ALT-PU-2020-2258/definitions.json +++ b/oval/p11/ALT-PU-2020-2258/definitions.json @@ -61,6 +61,7 @@ "ID": "CVE-2020-4044", "CVSS": "AV:L/AC:L/Au:N/C:P/I:P/A:P", "CVSS3": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-121", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2020-4044", "Impact": "High", "Public": "20200630" diff --git a/oval/p11/ALT-PU-2022-3320/definitions.json b/oval/p11/ALT-PU-2022-3320/definitions.json index 32233d3501..07ab9eba47 100644 --- a/oval/p11/ALT-PU-2022-3320/definitions.json +++ b/oval/p11/ALT-PU-2022-3320/definitions.json @@ -239,6 +239,7 @@ { "ID": "CVE-2022-23477", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23477", "Impact": "Critical", "Public": "20221209" @@ -246,6 +247,7 @@ { "ID": "CVE-2022-23478", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-787", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23478", "Impact": "Critical", "Public": "20221209" @@ -253,6 +255,7 @@ { "ID": "CVE-2022-23479", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23479", "Impact": "Critical", "Public": "20221209" @@ -260,6 +263,7 @@ { "ID": "CVE-2022-23480", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23480", "Impact": "Critical", "Public": "20221209" @@ -267,6 +271,7 @@ { "ID": "CVE-2022-23481", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23481", "Impact": "Critical", "Public": "20221209" @@ -274,6 +279,7 @@ { "ID": "CVE-2022-23482", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23482", "Impact": "Critical", "Public": "20221209" @@ -281,6 +287,7 @@ { "ID": "CVE-2022-23483", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23483", "Impact": "Critical", "Public": "20221209" @@ -288,6 +295,7 @@ { "ID": "CVE-2022-23484", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-190", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23484", "Impact": "Critical", "Public": "20221209" @@ -295,6 +303,7 @@ { "ID": "CVE-2022-23493", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23493", "Impact": "Critical", "Public": "20221209" diff --git a/oval/p11/ALT-PU-2024-15897/definitions.json b/oval/p11/ALT-PU-2024-15897/definitions.json index ed06958a2a..cf56bf4019 100644 --- a/oval/p11/ALT-PU-2024-15897/definitions.json +++ b/oval/p11/ALT-PU-2024-15897/definitions.json @@ -124,14 +124,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p11/ALT-PU-2024-15899/definitions.json b/oval/p11/ALT-PU-2024-15899/definitions.json index 2689c09ed2..23a542ee80 100644 --- a/oval/p11/ALT-PU-2024-15899/definitions.json +++ b/oval/p11/ALT-PU-2024-15899/definitions.json @@ -124,14 +124,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p11/ALT-PU-2024-15900/definitions.json b/oval/p11/ALT-PU-2024-15900/definitions.json index 9d9bd53a7e..8cf7328b63 100644 --- a/oval/p11/ALT-PU-2024-15900/definitions.json +++ b/oval/p11/ALT-PU-2024-15900/definitions.json @@ -124,14 +124,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p11/ALT-PU-2024-15901/definitions.json b/oval/p11/ALT-PU-2024-15901/definitions.json index 6c0e6b548f..b4f08ff5c0 100644 --- a/oval/p11/ALT-PU-2024-15901/definitions.json +++ b/oval/p11/ALT-PU-2024-15901/definitions.json @@ -124,14 +124,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p11/ALT-PU-2024-15902/definitions.json b/oval/p11/ALT-PU-2024-15902/definitions.json index da9273beb7..8d142cb23e 100644 --- a/oval/p11/ALT-PU-2024-15902/definitions.json +++ b/oval/p11/ALT-PU-2024-15902/definitions.json @@ -124,14 +124,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p11/ALT-PU-2024-17039/definitions.json b/oval/p11/ALT-PU-2024-17039/definitions.json index 35303ff3ff..9686c67218 100644 --- a/oval/p11/ALT-PU-2024-17039/definitions.json +++ b/oval/p11/ALT-PU-2024-17039/definitions.json @@ -124,14 +124,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p11/ALT-PU-2024-17041/definitions.json b/oval/p11/ALT-PU-2024-17041/definitions.json index 28e070b680..e76ccd5294 100644 --- a/oval/p11/ALT-PU-2024-17041/definitions.json +++ b/oval/p11/ALT-PU-2024-17041/definitions.json @@ -124,14 +124,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p11/ALT-PU-2024-17042/definitions.json b/oval/p11/ALT-PU-2024-17042/definitions.json index 8f1bdbe3e6..6d73161c5a 100644 --- a/oval/p11/ALT-PU-2024-17042/definitions.json +++ b/oval/p11/ALT-PU-2024-17042/definitions.json @@ -124,14 +124,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p11/ALT-PU-2024-17043/definitions.json b/oval/p11/ALT-PU-2024-17043/definitions.json index 7de775ff03..0cda01a18e 100644 --- a/oval/p11/ALT-PU-2024-17043/definitions.json +++ b/oval/p11/ALT-PU-2024-17043/definitions.json @@ -124,14 +124,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p11/ALT-PU-2024-17044/definitions.json b/oval/p11/ALT-PU-2024-17044/definitions.json index fbc411a266..6294eef850 100644 --- a/oval/p11/ALT-PU-2024-17044/definitions.json +++ b/oval/p11/ALT-PU-2024-17044/definitions.json @@ -124,14 +124,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p9/ALT-PU-2020-2333/definitions.json b/oval/p9/ALT-PU-2020-2333/definitions.json index 9caf6d00ab..5e838f3b31 100644 --- a/oval/p9/ALT-PU-2020-2333/definitions.json +++ b/oval/p9/ALT-PU-2020-2333/definitions.json @@ -67,6 +67,7 @@ "ID": "CVE-2020-4044", "CVSS": "AV:L/AC:L/Au:N/C:P/I:P/A:P", "CVSS3": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-121", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2020-4044", "Impact": "High", "Public": "20200630" diff --git a/oval/p9/ALT-PU-2023-5781/definitions.json b/oval/p9/ALT-PU-2023-5781/definitions.json index f1f19b2092..cf711eda7f 100644 --- a/oval/p9/ALT-PU-2023-5781/definitions.json +++ b/oval/p9/ALT-PU-2023-5781/definitions.json @@ -264,6 +264,7 @@ { "ID": "CVE-2022-23477", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23477", "Impact": "Critical", "Public": "20221209" @@ -271,6 +272,7 @@ { "ID": "CVE-2022-23478", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-787", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23478", "Impact": "Critical", "Public": "20221209" @@ -278,6 +280,7 @@ { "ID": "CVE-2022-23479", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23479", "Impact": "Critical", "Public": "20221209" @@ -285,6 +288,7 @@ { "ID": "CVE-2022-23480", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-120", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23480", "Impact": "Critical", "Public": "20221209" @@ -292,6 +296,7 @@ { "ID": "CVE-2022-23481", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23481", "Impact": "Critical", "Public": "20221209" @@ -299,6 +304,7 @@ { "ID": "CVE-2022-23482", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23482", "Impact": "Critical", "Public": "20221209" @@ -306,6 +312,7 @@ { "ID": "CVE-2022-23483", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23483", "Impact": "Critical", "Public": "20221209" @@ -313,6 +320,7 @@ { "ID": "CVE-2022-23484", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H", + "CWE": "CWE-190", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23484", "Impact": "Critical", "Public": "20221209" @@ -320,6 +328,7 @@ { "ID": "CVE-2022-23493", "CVSS3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "CWE": "CWE-125", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2022-23493", "Impact": "Critical", "Public": "20221209" diff --git a/oval/p9/ALT-PU-2024-16336/definitions.json b/oval/p9/ALT-PU-2024-16336/definitions.json index 503c74e302..41b01622a6 100644 --- a/oval/p9/ALT-PU-2024-16336/definitions.json +++ b/oval/p9/ALT-PU-2024-16336/definitions.json @@ -130,14 +130,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { diff --git a/oval/p9/ALT-PU-2024-16338/definitions.json b/oval/p9/ALT-PU-2024-16338/definitions.json index d963a46427..87d5b51ece 100644 --- a/oval/p9/ALT-PU-2024-16338/definitions.json +++ b/oval/p9/ALT-PU-2024-16338/definitions.json @@ -130,14 +130,18 @@ }, { "ID": "CVE-2024-10977", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N", + "CWE": "CWE-345", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10977", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, { "ID": "CVE-2024-10978", + "CVSS3": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N", + "CWE": "NVD-CWE-noinfo", "Href": "https://nvd.nist.gov/vuln/detail/CVE-2024-10978", - "Impact": "None", + "Impact": "Low", "Public": "20241114" }, {