首頁 > 安全研究 > 安全通報 > 安全通告

Fasterxml | Jackson 多個反序列化漏洞

發布時間 2020-08-27

0x00 漏洞概述


編號

issue:2798、issue:2814、issue:2826、issue:2827

2020-08-27


高危

遠程利用

影響范圍

jackson-databind < 2.9.10.6


Fasterxml主要用于Java 平臺的數據分析。jackson-databind是FasterXML項目下的JSON庫。


Fasterxml jackson-databind 2.9.10.6之前的版本中存在多個反序列化漏洞,攻擊者可通過精心構造的payload在系統上執行惡意代碼,Jackson是SpringBoot中首選和默認的轉換工具。


0x01 漏洞詳情

   

圖片1.png


issue:2798

該問題是由于com.pastdev.httpcomponents:configuration 組件庫存在不安全的反序列化。


issue:2814

該問題是由于br.com.anteros:Anteros-DBCP 組件庫存在不安全的反序列化,已分配CVE編號:CVE-2020-24616。


issue:2826

該問題是由于com.nqadmin.rowset:jdbcrowsetimpl 組件庫存在不安全的反序列化。


issue:2827

該問題是由于org.arrahtec:profiler-core 組件庫存在不安全的反序列化。


0x02 處置建議


升級到最新的版本,如暫時無法升級,建議禁止互聯網訪問反序列化接口。


0x03 相關新聞


0x04 參考鏈接


https://github.com/Fasterxml/jackson-databind/issues/2798

https://github.com/FasterXML/jackson-databind/issues/2814

https://github.com/Fasterxml/jackson-databind/issues/2826

https://github.com/Fasterxml/jackson-databind/issues/2827


0x05 時間線


2020-08-27 VSRC發布漏洞通告


vsrc.png

上一篇 下一篇