安全通告:jackson-databind序列化漏洞(CVE-2020-24616)

2020-08-27 來源:金山毒霸作者:金山毒霸

【漏洞說明】

2020年8月25日,jackson-databind發布了Jackson-databind序列化漏洞的安全通告,漏洞編號為CVE-2020-24616。FasterXML/jackson-databind是一個簡單基于Java應用庫,Jackson可以輕松的將Java對象轉換成json對象和xml文檔,同樣也可以將json、xml轉換成Java對象。

該漏洞存在于br.com.anteros:Anteros-DBCP庫中,攻擊者可以通過其中存在的反序列化利用鏈繞過jackson-databind的黑名單限制。攻擊者通過發送特制的請求包實現遠程代碼執行。

 

【威脅等級】

高危

 

【影響范圍】

FasterXML/jackson-databind: 2.9.10.6以下版本

 

【解決方法】

升級到 jackson-databind 2.9.10.6

鏈接:https://github.com/FasterXML/jackson-databind/releases

 

【參考鏈接】

https://nvd.nist.gov/vuln/detail/CVE-2020-24616

https://github.com/FasterXML/jackson-databind/issues/2814

https://github.com/FasterXML/jackson-databind/releases


? 聚宝盆pk10计划软件下载