• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 應(yīng)用
  • -
  • Jackson-databind 遠(yuǎn)程代碼執(zhí)行漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2020-35490/ CVE-2020-35491
    • 漏洞類型: 遠(yuǎn)程代碼執(zhí)行
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2020-12-22
    • 更新時間:2021-01-14

    漏洞簡介

    1、FasterXML Jackson 介紹

    FasterXML Jackson是美國FasterXML公司的一款適用于Java的數(shù)據(jù)處理工具。Jackson-databind是其中的一個具有數(shù)據(jù)綁定功能的組件。Jackson-databind可以將Java對象轉(zhuǎn)換成json對象,同樣也可以將json轉(zhuǎn)換成Java對象。

    2、漏洞描述

    2020年12月17日,jackson-databind官方發(fā)布安全通告,披露jackson-databind < 2.9.10.8存在反序列化遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-35490/CVE-2020-35491),利用漏洞可導(dǎo)致遠(yuǎn)程執(zhí)行服務(wù)器命令。該漏洞是由JNDI注入導(dǎo)致遠(yuǎn)程代碼執(zhí)行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.commons.dbcp2.datasources.PerUserPoolDataSource/org.apache.commons.dbcp2.datasources.SharedPoolDataSource黑名單類,攻擊者可以利用上述缺陷,繞過限制,實現(xiàn)JNDI注入,最終在受害主機上執(zhí)行任意代碼。

    3、漏洞復(fù)現(xiàn)

    搭建Jackson-databind 2.9.10.7環(huán)境,運行Sniper工具箱。效果如圖:

    CVE-2020-35490:



    CVE-2020-35491:


    漏洞公示

    暫無

    受影響實體

    目前受影響的Jackson-databind版本:

    Jackson-databind 2.0.0 - 2.9.10.7

    補丁

    官方發(fā)布的最新版本已經(jīng)修復(fù)了此漏洞,請受影響的用戶下載最新版本防御此漏洞。

    下載鏈接:https://github.com/FasterXML/jackson-databind/releases