首頁 > 安全研究 > 安全通報 > 安全通告

FasterXML/jackson-databind遠程代碼執行漏洞風險通告

發布時間 2020-03-03

漏洞編號和級別


CVE編號:CVE-2020-9547,危險級別:中危,CVSS分值:官方未評定

CVE編號:CVE-2020-9548,危險級別:中危,CVSS分值:官方未評定


影響版本


FasterXML/jackson-databind


1. 項目中還使用了Anteros-Core和ibatis-sqlmap組件。

2. jackson-databind使用2.10.0之前的版本。


漏洞概述


jackson-databind 是隸屬 FasterXML 項目組下的JSON處理庫。近日,安全研究者向FasterXML提交了兩個gadget,可用作jackson-databind的遠程代碼執行。


兩個gadget分別是 Anteros-Core和ibatis-sqlmap。漏洞的核心原因是 Anteros-Core和ibatis-sqlmap中存在特殊的利用鏈允許用戶觸發 JNDI 遠程類加載操作。


該漏洞影響jackson-databind對 JSON 文本的處理流程。攻擊者利用特制的請求可以觸發遠程代碼執行,攻擊成功可獲得服務器的控制權限(Web服務等級)。


漏洞驗證


暫無PoC/EXP。


修復建議


更新jackson-databind到最新版本:https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.10。


緩解措施:排查項目中是否使用Anteros-Core和ibatis-sqlmap,將 Anteros-Core和ibatis-sqlmap移除可以緩解漏洞所帶來的影響。


參考鏈接


https://github.com/FasterXML/jackson-databind/issues/2634


上一篇 下一篇