预警jackson-databind 反序列化远程代码执行漏洞(CVE-2020-24616等)

释放双眼,带上耳机,听听看~!

2020年8月27日,本站安全专题监测到jackson-databind官方发布安全通告披露jackson-databind < 2.9.10.6存在反序列化远程代码执行漏洞(CVE-2020-24616等)。利用漏洞可导致远程执行服务器命令,官方git已发布公告说明,请使用到jackson-databind jar组件的用户尽快升级至安全版本。

漏洞描述

jackson-databind是一套开源java高性能JSON处理器,受影响版本的jackson-databind中由于缺少黑名单类,如br.com.anteros:Anteros-DBCP,可导致攻击者实现远程代码执行,其相关CVE号为CVE-2020-24616,漏洞需要相关jar组件才能成功利用,影响面适中。此次版本升级官方还修复了多处利用链,包含org.arrahtec:profiler-core、com.nqadmin.rowset:jdbcrowsetimpl、com.pastdev.httpcomponents:configuration等。本站安全专题提醒jackson-databind用户尽快采取安全措施阻止漏洞攻击。

风险评级

CVE-2020-8840 中危

影响版本

jackson-databind < 2.9.10.6

安全版本

jackson-databind >= 2.9.10.6

安全建议

以下任意一种方法均可实现漏洞修复

1、针对使用到jackson-databind组件的web服务升级jackson-databind组件至安全版本:https://repo1.maven.org/maven2/com/fasterxml/jackson/core/jackson-databind/2.9.10.6/

https://github.com/FasterXML/jackson-databind/releases

2、针对无法升级jackson-databind的,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)

相关链接

https://github.com/FasterXML/jackson-databind/issues?q=label%3ACVE+is%3Aclosed

我们会关注后续进展,请随时关注官方公告。

内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。

本站安全专题

2020.08.27

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

宝塔官方消息7.4.2版本存严重漏洞

2020-8-23 21:51:09

安全漏洞

预警Adobe Magento 远程代码执行漏洞(CVE-2020-24407)

2020-12-11 11:36:11

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索