详询客服
×

售前电话 186 7086 0265

售后电话 186 7086 0265

客服邮箱 contactus@mingting.cn

我知道了

安全通告:jackson-databind序列化漏洞(CVE-2020-24616)

2020-08-27 来源:金山毒霸作者:金山毒霸

【漏洞说明】

2020年8月25日,jackson-databind发布了Jackson-databind序列化漏洞的安全通告,漏洞编号为CVE-2020-24616。FasterXML/jackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。

该漏洞存在于br.com.anteros:Anteros-DBCP库中,攻击者可以通过其中存在的反序列化利用链绕过jackson-databind的黑名单限制。攻击者通过发送特制的请求包实现远程代码执行。

 

【威胁等级】

高危

 

【影响范围】

FasterXML/jackson-databind: 2.9.10.6以下版本

 

【解决方法】

升级到 jackson-databind 2.9.10.6

链接:https://github.com/FasterXML/jackson-databind/releases

 

【参考链接】

https://nvd.nist.gov/vuln/detail/CVE-2020-24616

https://github.com/FasterXML/jackson-databind/issues/2814

https://github.com/FasterXML/jackson-databind/releases