【高危】- Jackson-databind反序列化漏洞(CVE-2020-35728)
■ 漏洞描述
jackson-databind是一套开源java高性能JSON处理器。jackson-databind存在一处反序列化远程代码执行漏洞(CVE-2020-35728),该漏洞是由于com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。
■ 影响范围
FasterXML jackson-databind 2.x < 2.9.10.8
■ 漏洞检测
匹配jar包版本号
■ 漏洞修复
升级到安全版本
FasterXML jackson-databind >= 2.9.10.8
FasterXML jackson-databind >= 2.10.0
下载链接:
https://mvnrepository.com/search?q=jackson-databind。
■ 临时修复
1、若未使用到该组件,请移除。
2、如无法升级版本,请将使用该组件的web服务限制内网访问或添加waf。
■ 漏洞详情
https://mp.weixin.qq.com/s/mbgy9lpmJXn3gpk3G1Cj0A
jackson-databind是一套开源java高性能JSON处理器。jackson-databind存在一处反序列化远程代码执行漏洞(CVE-2020-35728),该漏洞是由于com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。
■ 影响范围
FasterXML jackson-databind 2.x < 2.9.10.8
■ 漏洞检测
匹配jar包版本号
■ 漏洞修复
升级到安全版本
FasterXML jackson-databind >= 2.9.10.8
FasterXML jackson-databind >= 2.10.0
下载链接:
https://mvnrepository.com/search?q=jackson-databind。
■ 临时修复
1、若未使用到该组件,请移除。
2、如无法升级版本,请将使用该组件的web服务限制内网访问或添加waf。
■ 漏洞详情
https://mp.weixin.qq.com/s/mbgy9lpmJXn3gpk3G1Cj0A