- CNNVD編號:未知
- 危害等級: 高危
- CVE編號:CVE-2020-35490/ CVE-2020-35491
- 漏洞類型: 遠(yuǎn)程代碼執(zhí)行
- 威脅類型:遠(yuǎn)程
- 廠 商:未知
- 漏洞來源:深信服
- 發(fā)布時間:2020-12-22
- 更新時間:2021-01-14
漏洞簡介
1、FasterXML Jackson 介紹
FasterXML Jackson是美國FasterXML公司的一款適用于Java的數(shù)據(jù)處理工具。Jackson-databind是其中的一個具有數(shù)據(jù)綁定功能的組件。Jackson-databind可以將Java對象轉(zhuǎn)換成json對象,同樣也可以將json轉(zhuǎn)換成Java對象。
2、漏洞描述
2020年12月17日,jackson-databind官方發(fā)布安全通告,披露jackson-databind < 2.9.10.8存在反序列化遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-35490/CVE-2020-35491),利用漏洞可導(dǎo)致遠(yuǎn)程執(zhí)行服務(wù)器命令。該漏洞是由JNDI注入導(dǎo)致遠(yuǎn)程代碼執(zhí)行, Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.apache.commons.dbcp2.datasources.PerUserPoolDataSource/org.apache.commons.dbcp2.datasources.SharedPoolDataSource黑名單類,攻擊者可以利用上述缺陷,繞過限制,實現(xiàn)JNDI注入,最終在受害主機上執(zhí)行任意代碼。
3、漏洞復(fù)現(xiàn)
搭建Jackson-databind 2.9.10.7環(huán)境,運行Sniper工具箱。效果如圖:
CVE-2020-35490:
CVE-2020-35491:
漏洞公示
受影響實體
目前受影響的Jackson-databind版本:
Jackson-databind 2.0.0 - 2.9.10.7
補丁
官方發(fā)布的最新版本已經(jīng)修復(fù)了此漏洞,請受影響的用戶下載最新版本防御此漏洞。