【高危】- FasterXML/jackson-databind 远程代码执行漏洞通告(CVE-2020-9547等)
■ 漏洞描述
jackson-databind 是隶属 FasterXML 项目组下的JSON处理库。
该漏洞影响jackson-databind对 JSON 文本的处理流程。攻击者利用特制的请求可以触发远程代码执行,
攻击成功可获得服务器的控制权限(Web服务等级),该漏洞同时影响开启了autotype选项的fastjson。
■ 影响范围
jackson-databind < 2.10.0
■ 漏洞检测
检测方法:查看系统版本。
■ 漏洞修复
更新jackson-databind到最新版本: https://github.com/FasterXML/jackson
■ 漏洞详情
https://cert.360.cn/warning/detail?id=f3aa86acf2688e0e410dee9e6ab79bc1
jackson-databind 是隶属 FasterXML 项目组下的JSON处理库。
该漏洞影响jackson-databind对 JSON 文本的处理流程。攻击者利用特制的请求可以触发远程代码执行,
攻击成功可获得服务器的控制权限(Web服务等级),该漏洞同时影响开启了autotype选项的fastjson。
■ 影响范围
jackson-databind < 2.10.0
■ 漏洞检测
检测方法:查看系统版本。
■ 漏洞修复
更新jackson-databind到最新版本: https://github.com/FasterXML/jackson
■ 漏洞详情
https://cert.360.cn/warning/detail?id=f3aa86acf2688e0e410dee9e6ab79bc1