update cve/weblogic/2020/yaml/CVE-2020-2551.yaml.

Signed-off-by: Cryptocxf <by2039101@buaa.edu.cn>

cve/weblogic/2020/yaml/CVE-2020-2551.yaml

@@ -2,18 +2,19 @@ id: CVE-2020-2551
 source: https://github.com/hktalent/CVE-2020-2551
 info:
   name: WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
-  severity: high
+  severity: critical
   description: |
     这次漏洞主要原因是错误的过滤JtaTransactionManager类，JtaTransactionManager父类AbstractPlatformTransactionManager在之前的补丁里面就加入到黑名单列表了,T3协议使用的是resolveClass方法去过滤的,resolveClass方法是会读取父类的,所以T3协议这样过滤是没问题的。但是IIOP协议这块,虽然也是使用的这个黑名单列表,但不是使用resolveClass方法去判断的,这样默认只会判断本类的类名,而JtaTransactionManager类是不在黑名单列表里面的,它的父类才在黑名单列表里面,这样就可以反序列化JtaTransactionManager类了,而JtaTransactionManager类是存在jndi注入的。
   scope-of-influence:
     weblogic 10.3.6.0.0, weblogic 12.1.3.0.0, weblogic 12.2.1.3.0, weblogic 12.2.1.4.0
   reference:
     - https://www.oracle.com/security-alerts/cpujan2020.html
+    - https://nvd.nist.gov/vuln/detail/CVE-2020-2551
   classification:
-    cvss-metrics:  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
+    cvss-metrics:  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
     cvss-score: 9.8
     cve-id: CVE-2020-2551
-    cwe-id: None
+    cwe-id: NVD-CWE-noinfo
     cnvd-id: None
     kve-id: None
-  tags: cve2020,Weblogic,反序列化
+  tags: cve2020, Weblogic, 反序列化