【漏洞简介】近日,Jackson官方发布安全issue,披露Jackson存在最新的反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14379),可对6月21日披露的CVE-2019-12384漏洞绕过,成功利用可实现远程代码执行。建议Jackson的用户尽快升级至安全版本。
【Jackson介绍】Jackson是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
【风险评级】CVE-2019-14379 高危CVE-2019-14361 高危
【影响范围】受影响版本Jackson-databind < 2.9.9.2Jackson-databind < 2.10.0Jackson-databind < 2.7.9.6Jackson-databind < 2.8.11.4
不受影响版本Jackson-databind >= 2.9.9.2Jackson-databind >= 2.10.0Jackson-databind >= 2.7.9.6Jackson-databind >= 2.8.11.4
【漏洞分析】Jackson存在最新的反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439),可对6月21日披露的CVE-2019-12384反序列化漏洞补丁的绕过。攻击者可通过精心构造恶意的JSON并提交到服务器端,实现远程代码执行。
<