FasterXML Jackson-databind远程代码执行漏洞

最新推荐文章于 2024-06-23 09:46:24 发布
最新推荐文章于 2024-06-23 09:46:24 发布
阅读量7k 收藏 4
点赞数

近日,FasterXML Jackson-databind远程代码执行漏洞的利用方式公开。此漏洞利用FasterXML Jackson-databind的logback-core类建立JDBC连接,加载插入恶意代码的sql文件,获取服务器权限,实现远程代码执行漏洞的利用。

FasterXML Jackson-databind介绍

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。

漏洞分析

此漏洞调用FasterXML Jackson-databind的logback-core类建立JDBC连接,JDBC是一个可以执行sql语句的API。通过JDBC,服务器可以加载远端的sql文件并执行其中的代码。攻击者利用此方式,加载远端的恶意sql文件,在目标服务器执行文件中的恶意代码,获取目标服务器的权限。

漏洞复现

搭建 jackson-databind-2.9.8环境。下载jackson-databind-2.9.8jackson-annotations-2.9.8jackson-core-2.9.8logback-core-1.3.0-alpha4h2-1.4.199放在classpath文件夹中,使用ruby脚本加载jar包,传入构造的payload,加载远端HTTP服务器上的sql文件,实现远程代码执行攻击。攻击效果如下图。PHP大马

执行ruby脚本,传入参数:

FasterXML Jackson-databind远程代码执行漏洞

HTTP服务器上产生日志。

FasterXML Jackson-databind远程代码执行漏洞

生成exploit文件

FasterXML Jackson-databind远程代码执行漏洞

影响范围

目前受影响FasterXML Jackson-databind的版本:

FasterXML jackson-databind 2.0 – 2.9.9.1

修复建议

升级到FasterXML jackson-databind最新版本,下载链接:https://github.com/FasterXML/jackson-databind/

systemino
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FasterXML/jackson-databind 远程代码执行漏洞(CVE-2020-8840)复现
玄道的网安博客
12-12 6342
漏洞概述 FFasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。 此次漏洞中攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行。 影响版本 2.0.0 <= FasterXML jackson-databind Version <= 2.9.10.2 环境搭建 项目地址: h...
jackson-CVE-2020-8840:FasterXMLjackson-databind远程代码执行漏洞
03-08
CVE-2020-8840 FasterXML / jackson-databind远程代码执行漏洞
探索Jackson-RCE-Via-Spel:安全漏洞的警示与防护
最新发布
gitblog_00024的博客
06-23 235
探索Jackson-RCE-Via-Spel:安全漏洞的警示与防护 项目地址:https://gitcode.com/irsl/jackson-rce-via-spel 在深入理解现代Java应用的安全性时,我们必须时刻警惕潜在的风险和威胁。Jackson-databind是一个广泛使用的JSON库,它提供了一种强大的数据绑定机制,但同时也存在一个默认类型的漏洞(CVE-2017-7525),可能...
自检代码中trustmanager漏洞_Fasterxml Jacksondatabind漏洞分析与利用
weixin_39640767的博客
11-22 836
一、 Fasterxml Jackson-databind组件介绍FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。二、各版本介绍Fasterxml的jackson...
FasterXML Jackson-databind远程代码执行漏洞 CVE-2020-8840 已亲自复现 未完成
qq_42430287的博客
12-27 1480
受影响版本的jackson-databind中缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,导致攻击者可通过JNDI注入的方式对此漏洞进行利用,成功时可以实现远程代码执行。2.0.0
【安全漏洞jackson-databind漏洞、 异常NoClassDefFoundError: Could not initialize class com.fasterxml.jackson
开着奥迪卖小猪
07-25 1万+
一、jackson-databind漏洞 国家信息安全漏洞库:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-867 二、发现项目中有使用2.6.3版本的jackson,所以进行升级 jackson-databind 升级到2.9.9.1、 jackson...
Jackson之jackson-databind
热门推荐
明月阁
12-09 6万+
原文链接:http://www.dubby.cn/detail.html?id=9070 前几篇介绍Jackson的文章(Jackson介绍,Jackson之jackson-core),虽然很好,但是我相信你并愿意在项目中使用,因为使用起来很复杂,也许这也是很多人愿意使用Fastjson的原因吧。为什么会感觉这么复杂呢,因为jackson-core提供的是很低级的API,我们可以充分的了解细节,
jackson-databind漏洞问题
08-01
jackson-databind-2.8.1 适用于jdk1.7 jackson-databind-2.11.2 适用于jdk1.8 jackson-databind-2.7.9.2 适用于jdk1.6
jackson-databind-2.9.10.8.jar升级相关jar包
04-21
jackson-databind-2.9.10.8.jar升级相关jar包包含: jackson-module-jaxb-annotations-2.9.10.jar jackson-core-2.9.10.jar jackson-databind-2.9.10.8.jar jackson-annotations-2.9.10.jar jackson-jaxrs-json-...
jackson-databind-vuln:Jackson Databind漏洞
05-26
然而,Jackson Databind存在一系列的安全漏洞,这些漏洞可能导致远程代码执行(RCE)攻击,严重影响应用程序的安全性。 Jackson库本身是一个高效的、功能丰富的JSON解析和序列化框架,它的核心组件包括Jackson Core...
jackson-databind-2.12.5-API文档-中文版.zip
06-04
赠送源代码jackson-databind-2.12.5-sources.jar; 赠送Maven依赖信息文件:jackson-databind-2.12.5.pom; 包含翻译后的API文档:jackson-databind-2.12.5-javadoc-API文档-中文(简体)版.zip; Maven坐标:...
jackson-databind, Jackson通用数据绑定包( 2.x ).zip
10-10
jackson-databind, Jackson通用数据绑定包( 2.x ) 概述这个项目包含 Jackson数据处理器的通用数据绑定功能和树模型。 它构建在核心流解析器/生成器包之上,并使用 Jackson注解( ) 。 项目许可证在 Apache许可 2.0.当Jackson的原始用例是JSON数据绑定时,现
jackson-databind-2.2.3.jar
11-15
spring Android中需要此包jackson-databind-2.2.3.jar,还需要jackson-annotations-2.2.3.jar和jackson-core-2.2.3.jar
jackson-databind-2.4.3.jar
01-05
jackson-databind-2.4.3.jar+jackson-jr-all-2.4.3-sources.jar
jackson-databind-2.9.10.8.jar
09-11
Java下常见的Json类库有Gson、JSON-lib和Jackson等,Jackson相对来说比较高效,在项目中主要使用Jackson进行JSON和Java对象转换
jackson-databind-2.9.7
10-30
jackson-databind-2.9.7包含 jackson-databind-2.9.7.jar jackson-core-2.9.7.jar jackson-annotations-2.9.0.jar 一次下载即可使用,避免一个个依赖查找的烦恼。
Jackson-databind引发的漏洞问题分析
kshzhaohui的专栏
03-25 7800
前言 最近公司内部提供了一份应用高危漏洞的清单,其中提到了fastjson和jackson,因为之前对fastjson因为多态问题引发的反序列化问题有过了解,所以打算也做一个简单的分析。 漏洞简述 2020年08月27日,360CERT监测发现 jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,
JackSon学习笔记(一)
java_huashan的专栏
06-05 6万+
概述: Jackson框架是基于Java平台的一套数据处理工具,被称为“最好的Java Json解析器”。  Jackson框架包含了3个核心库:streaming,databind,annotations. Jackson版本: 1.x (目前版本从1.1~1.9)与2.x。1.x与2.x从包的命名上可以看出来,1.x的类库中,包命名以:org.codehaus.jackson
Caused by: com.fasterxml.jackson.databind.exc.UnrecognizedPropertyException。前端多传个参数,后端报错????
qq_46940224的博客
05-22 228
Caused by: com.fasterxml.jackson.databind.exc.MismatchedInputException: Cannot construct instance of `com.cvit.storage.starter.dao.vo.StorageReduceVo` (although at least one Creator exists): no String-argument constructor/factory method to deserialize from
jackson-databind下载
09-07
您可以从以下几个版本中选择下载jackson-databind jar包: - 版本2.9.7:您可以下载jackson-databind-2.9.7.jar、jackson-databind-2.9.7-javadoc.jar、jackson-databind-2.9.7-sources.jar以及翻译后的API文档jackson-databind-2.9.7-javadoc-API...等文件。 - 版本2.13.1:您可以下载jackson-databind-2.13.1.jar、jackson-databind-2.13.1-javadoc.jar、jackson-databind-2.13.1-sources.jar以及Maven依赖信息文件jackson-databind-2.13.1.pom等文件。 - 版本2.12.3:您可以下载jackson-databind-2.12.3.jar、jackson-databind-2.12.3-javadoc.jar、jackson-databind-2.12.3-sources.jar以及Maven依赖信息文件jackson-databind-2.12.3.pom等文件。 根据您的需求,您可以选择相应的版本并下载对应的jar包、API文档、源代码以及Maven依赖信息文件。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值