CVE-2020-8840:Jackson-databind远程命令执行漏洞(或影响...

22.png

2月19日,NVD披露了Fasterxm l jackson-databind的远程代码执行漏洞。Fasterxm l jackson-databind是一个简单基于Java应用库,主要用于对象转换,可将Java对象转换成json对象和xm l文档,同样也可将json对象转换成Java对象。该应用库在去年也曝出过远程代码执行漏洞。

经国内安全研究人员分析,在开启了autoType功能的情况下(该功能默认关闭),该漏洞影响了最新的fastjson 1.2.62,攻击者也可利用该漏洞在目标机器上实现远程命令执行。

FastJson是阿里巴巴的的开源JSON解析库,用于对JSON格式的数据进行解析,可对Java Bean和JSON字符串进行双向转换,应用范围较广。

危害等级

严重

漏洞原理

Fasterxm l jackson-databind的2.0.0到2.9.10.2版本缺乏某些xbean-reflect/JNDI黑名单类,例如org.apache.xbean.propertyeditor.JndiConverter,可导致攻击者使用JNDI注入实现远程命令执行。

aa.jpg

漏洞影响

2.0.0 <= Fasterxm l jackson-databind <= 2.9.10.2

2.8.11.5以及更高的2.10.0版本不受影响

漏洞编号

CVE-2020-8840

修复建议

目前在官方发布网站有不受影响版本的软件,建议管理员及时进行软件防护升级(https://github.com/Fasterxm l/jackson-databind/releases)。

参考

[1] https://mp.weixin.qq.com/s/24eYO350Xt_JpAgmSQBGVw

[2] https://nvd.nist.gov/vuln/detail/CVE-2020-8840

[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8840

[4] https://github.com/Fasterxm l/jackson-databind/issues/2620

[5] https://mp.weixin.qq.com/s/el6TQPskKzu5dXXbccMnEw

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐