Jackson 多个反序列化安全漏洞导致远程代码执行

情报来源:Ti

发布时间:2020-08-26 23:53

返回
基本信息
  • 预警标题Jackson 多个反序列化安全漏洞导致远程代码执行
  • 预警分类安全预警
  • 发布日期2020-08-26 23:53
情报概述

漏洞编号:CVE-2020-24616


威胁程度:


影响范围:

jackson-databind < 2.9.10.6


漏洞描述:

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。

FasterXML jackson-databind 2.9.10.6之前的版本中存在安全漏洞,该漏洞源于进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷通过利用该漏洞在系统上执行任意代码。


CVE-2020-24616

该漏洞源于Jackson 上使用

br.com.anteros:Anteros-DBCP 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。


issue:2827

该漏洞源于Jackson 上使用

org.arrahtec:profiler-core 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。


issue:2826

该漏洞源于Jackson 上使用 

com.nqadmin.rowset:jdbcrowsetimpl 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。


issue:2798

该漏洞源于Jackson 上使用

com.pastdev.httpcomponents:configuration 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷该漏洞在系统上执行任意代码。


修复建议:

  • 升级至jackson-databind 2.9.10.6 或更高的版本;
  • 如暂时无法升级,作为缓解措施,建议不要将有反序列化接口暴露在外网。


相关链接:

  1. https://mp.weixin.qq.com/s/TGmOLR-vQVRRdqszQyytHA
  2. 官方通告以及升级链接:https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6
  3. https://nvd.nist.gov/vuln/detail/CVE-2020-24616
  4. https://github.com/FasterXML/jackson-databind/issues/2827
  5. https://github.com/FasterXML/jackson-databind/issues/2826
  6. https://github.com/FasterXML/jackson-databind/issues/2798
  7. https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062



情报来源

KnowSafe

来源地址

https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6

情报标签

Jackson

在线咨询
AiDeep Ued

Copyright © 2015 KnowSafe All rights reserved.

公司地址:成都市高新区天府大道北段1700号

业务邮箱:Sales@knowsafe.com

资产安全
DeepEye(深瞳)
Hades(漏洞扫描)
xSRC
威胁情报
商业安全
iTrust联合信任
SSL证书
安全服务
安全测试
应急响应
代码审计
安全加固
安全培训
关于我们
公司简介
联系我们
白帽入驻
合作伙伴
品牌规范
关注我们
微信扫码关注公众号
蜀ICP备15025492号 川公网安备 51019002000540号
iTrust