首頁 > 安全研究 > 安全通報 > 安全通告

jackson-databind JNDI注入導致遠程代碼執行漏洞風險通告

發布時間 2020-03-14

漏洞編號和級別


CVE編號:暫無,危險級別:中危,CVSS分值:官方未評定


影響版本


jackson-databind <= 2.10.3


漏洞概述


jackson-databind 是隸屬 FasterXML 項目組下的JSON處理庫。


近日,jackson-databind官方發布一則issue,漏洞出現在shiro-core這個package。如果在項目包中存在類org.apache.shiro.jndi.JndiObjectFactory的jar包,則可以使用JNDI注入的方式導致遠程代碼執行。攻擊成功可獲得服務器的控制權限(Web服務等級),該漏洞同時影響開啟了autotype選項的fastjson。


漏洞驗證


暫無PoC/EXP。


修復建議


更新jackson-databind到最新版本: https://github.com/FasterXML/jackson。

緩解措施:

排查項目中是否使用shiro-core。該次漏洞的核心原因是 shiro-core 中存在特殊的利用鏈允許用戶觸發 JNDI 遠程類加載操作。將 shiro-core 移除可以緩解漏洞所帶來的影響。

參考鏈接

https://github.com/FasterXML/jackson-databind/issues/2653



上一篇 下一篇