首頁 > 安全研究 > 安全通報 > 安全通告

FasterXML jackson-databind遠程代碼執行漏洞安全通告

發布時間 2019-07-31

? 漏洞編號和級別


CVE編號:CVE-2019-14361,危險級別:高危,CVSS分值:官方未評定

CVE編號:CVE-2019-14379,危險級別:高危,CVSS分值:官方未評定


影響版本


受影響的版本


產品


FastXML


版本


FasterXMLjackson-databind<2.9.9.2
FasterXMLjackson-databind<2.10.0
FasterXMLjackson-databind<2.7.9.6

FasterXMLjackson-databind<2.8.11.4


組件


FasterXMLjackson-databind

FasterXMLback-ported


漏洞概述


FasterXMLjackson-databind是一個簡單基于Java應用庫,Jackson可以輕松的將Java對象轉換成json對象和xml文檔,同樣也可以將json、xml轉換成Java對象。


FasterXMLjackson-databind存在反序列化漏洞補丁繞過。攻擊者可利用漏洞執行代碼。


漏洞驗證


EXP: https://github.com/Heartway


修復建議


1、升級FasterXMLjackson-databind版本到2.9.9.2,2.10.0,2.7.9.6,2.8.11.4
2、不開啟Jackson的defaultTyping選項

參考鏈接


https://github.com/FasterXML/jackson-databind/issues/2387 
https://github.com/FasterXML/jackson-databind/issues/2389

上一篇 下一篇