0x00 漏洞编号
CVE-2020-24616
0x01 危险等级
中危
0x02 漏洞概述
Fasterxml Jackson 是美国 Fasterxml 公司的一款适用于 Java 的数据处理工具。jackson-databind 是其中的一个具有数据绑定功能的组件。 Fasterxml jackson-databind 2.9.10.6之前的版本中存在安全漏洞,该漏洞源于进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷通过利用该漏洞在系统上执行任意代码。0x03 漏洞详情
CVE-2020-24616
br.com.anteros:Anteros-DBCP 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。issue:2827
org.arrahtec:profiler-core 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。issue:2826
com.nqadmin.rowset:jdbcrowsetimpl 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。issue:2798
com.pastdev.httpcomponents:configuration 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷该漏洞在系统上执行任意代码。0x04 影响版本
jackson-databind < 2.9.10.6
0x05 修复建议
目前官方已发布漏洞修复版本,建议用户升级到2.9.10.6 或更高的版本:
https://github.com/FasterXML/jackson-databind/releases![b2452a60d883dbd9b78cd8150fddf957.gif](https://i-blog.csdnimg.cn/blog_migrate/b2aff665642cc50d7cfa3e20e1e724d9.gif)
![1e41c4740914296401f743ae668fc105.gif](https://i-blog.csdnimg.cn/blog_migrate/3922bfc0960beb7f65b942cea5a1d0bb.gif)
![f81f94df0f55cf14f212399535d2a202.png](https://i-blog.csdnimg.cn/blog_migrate/06e742eb3cd4d9fc13079ff35fecab18.jpeg)
![1e41c4740914296401f743ae668fc105.gif](https://i-blog.csdnimg.cn/blog_migrate/3922bfc0960beb7f65b942cea5a1d0bb.gif)