99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源


【漏洞通告】 FasterXML/jackson-databind 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-8840)

漏洞描述

FasterXML/jackson-databind是一個(gè)用于JSON和對(duì)象轉(zhuǎn)換的Java第三方庫(kù),可將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔,同樣也可將json對(duì)象轉(zhuǎn)換成Java對(duì)象。

此次漏洞中攻擊者可利用xbean-reflect的利用鏈觸發(fā)JNDI遠(yuǎn)程類(lèi)加載從而達(dá)到遠(yuǎn)程代碼執(zhí)行。

此利用難度低 ,威脅程度高,影響面大。禹宏信安建議使用用戶(hù)及時(shí)安裝最新補(bǔ)丁,以免遭受黑客攻擊。

漏洞編號(hào)

CVE-2020-8840

漏洞危害

攻擊者可利用xbean-reflect的利用鏈觸發(fā)JNDI遠(yuǎn)程類(lèi)加載從而達(dá)到遠(yuǎn)程代碼執(zhí)行。

漏洞等級(jí)

高危
受影響版本

jackson-databind 2.0.0 – 2.9.10.2

經(jīng)驗(yàn)證fastjson在開(kāi)啟了autoType功能的情況下,影響最新的fastjson v1.2.62版本

修復(fù)方案

1.升級(jí) jackson-databind 到新版本

https://github.com/Fasterxml/jackson-databind/releases

2.本次漏洞調(diào)用鏈依賴(lài)xbean-reflect,如果項(xiàng)目中未用到可以移除

參考鏈接

  1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8840
  2. https://github.com/FasterXML/jackson-databind/issues/2620
上一篇
下一篇

聯(lián)系我們:cert@chaosec.com