首頁 > 安全研究 > 安全通報 > 安全通告

FasterXML Jackson-databind遠程代碼執行漏洞安全通告

發布時間 2019-07-23

漏洞編號和級別


CVE編號:CVE-2019-12384,危險級別:中危,CVSS分值:5.9 


影響版本


受影響的版本


FasterXML jackson-databind 2.0.0 – 2.9.9


漏洞概述


FasterXML Jackson是美國FasterXML公司的一款適用于Java的數據處理工具。Jackson-databind是其中的一個具有數據綁定功能的組件。


Jackson-databind可能允許攻擊者通過利用無法阻止logback-core類進行多態反序列化而產生各種影響。根據類路徑內容,可以造成遠程代碼執行。


漏洞驗證


POC:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://github.com/FasterXML/jackson-databind/commit/c9ef4a10d6f6633cf470d6a469514b68fa2be234。 


緩解措施:


此漏洞依賴于應用程序的ClassPath中存在的logback-core(ch.qos.logback.core)。停止使用存在logback-core的jackson-databind應用程序可避免此漏洞的影響。


參考鏈接


http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-867 

上一篇 下一篇