记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

安全通告:jackson-databind序列化漏洞(CVE-2020-24616)

2020-08-27 20:19

【漏洞说明】

2020年8月25日,jackson-databind发布了Jackson-databind序列化漏洞的安全通告,漏洞编号为CVE-2020-24616。FasterXML/jackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。

该漏洞存在于br.com.anteros:Anteros-DBCP库中,攻击者可以通过其中存在的反序列化利用链绕过jackson-databind的黑名单限制。攻击者通过发送特制的请求包实现远程代码执行。

 

【威胁等级】

高危

 

【影响范围】

FasterXML/jackson-databind: 2.9.10.6以下版本

 

【解决方法】

升级到 jackson-databind 2.9.10.6

链接:https://github.com/FasterXML/jackson-databind/releases

 

【参考链接】

https://nvd.nist.gov/vuln/detail/CVE-2020-24616

https://github.com/FasterXML/jackson-databind/issues/2814

https://github.com/FasterXML/jackson-databind/releases



知识来源: https://www.ijinshan.com/info/202008271659.shtml

阅读:30041 | 评论:0 | 标签:漏洞 CVE 序列化 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“安全通告:jackson-databind序列化漏洞(CVE-2020-24616)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云