漏洞描述
近日,亚信安全网络攻防实验室跟踪到jackson-databind新增一个黑名单类,由threedr3am提交.该类来源于JDK,不需要依赖任何jar包,该类主要可用于SSRF(服务器端请求伪造).SSRF漏洞的危害,本文不多作赘述.
漏洞编号
Jackson内部编号2642
漏洞威胁等级
中危
不受影响范围
jackson-databind >= 2.9.10.4
jackson-databind >= 2.10.0
漏洞验证
这里选用2.9.10.2并请求dnslog作为例子
在fastjson1.2.66(最新版)中开启autotype以后,同样受影响
修复建议
1.更新jackson-databind到最新版本
2.在fastjson中禁用autotype
时间轴
[0] 2020/03/04 Jackson官方关闭该漏洞
[1] 2020/03/08 亚信安全网络攻防实验室分析&复现该漏洞并发布漏洞通告
Reference
https://github.com/FasterXML/jackson-databind/issues/2642