安全通告:jackson-databind序列化漏洞(CVE-2020-24616)
2020-08-27 来源:金山毒霸作者:金山毒霸
【漏洞说明】
2020年8月25日,jackson-databind发布了Jackson-databind序列化漏洞的安全通告,漏洞编号为CVE-2020-24616。FasterXML/jackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
该漏洞存在于br.com.anteros:Anteros-DBCP库中,攻击者可以通过其中存在的反序列化利用链绕过jackson-databind的黑名单限制。攻击者通过发送特制的请求包实现远程代码执行。
【威胁等级】
高危
【影响范围】
FasterXML/jackson-databind: 2.9.10.6以下版本
【解决方法】
升级到 jackson-databind 2.9.10.6
链接:https://github.com/FasterXML/jackson-databind/releases
【参考链接】
https://nvd.nist.gov/vuln/detail/CVE-2020-24616
https://github.com/FasterXML/jackson-databind/issues/2814
https://github.com/FasterXML/jackson-databind/releases