【中危】- Jackson-databind反序列化漏洞风险通告(CVE-2020-35490,CVE-2020-35491)
■ 漏洞描述
jackson-databind是一套开源java高性能JSON处理器。jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35490/CVE-2020-35491),利用漏洞可导致远程执行服务器命令。
■ 影响范围
jackson-databind 2.x < 2.9.10.8
■ 漏洞检测
匹配版本。
■ 漏洞修复
升级安全版本:jackson-databind >= 2.9.10.8 (尚未推出)、jackson-databind >= 2.10.0。url:https://github.com/FasterXML/jackson-databind/releases。
■ 临时修复
针对无法升级jackson-databind的,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)。
■ 漏洞详情
https://s.tencent.com/research/bsafe/1205.html。
jackson-databind是一套开源java高性能JSON处理器。jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35490/CVE-2020-35491),利用漏洞可导致远程执行服务器命令。
■ 影响范围
jackson-databind 2.x < 2.9.10.8
■ 漏洞检测
匹配版本。
■ 漏洞修复
升级安全版本:jackson-databind >= 2.9.10.8 (尚未推出)、jackson-databind >= 2.10.0。url:https://github.com/FasterXML/jackson-databind/releases。
■ 临时修复
针对无法升级jackson-databind的,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)。
■ 漏洞详情
https://s.tencent.com/research/bsafe/1205.html。