jackson 序列化_【安全警报】Jackson反序列化远程代码执行漏洞(CVE202024616)

最新推荐文章于 2024-04-29 15:37:57 发布
最新推荐文章于 2024-04-29 15:37:57 发布
阅读量307 收藏 1
点赞数
文章标签: jackson 序列化 不安全的反序列化

FasterXML jackson-databind 2.9.10.6之前的版本在处理序列化交互时可能导致远程代码执行。

【漏洞描述】

FasterXML Jackson发布了新的高危漏洞(漏洞编号:CVE-2020-24616),其官方团队发布了 jackson-databind 的新版本 2.9.10.6,其中修复了几个反序列化漏洞。
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.6之前的版本中存在安全漏洞,该漏洞源于不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统执行任意代码。

【漏洞等级】

  • 中危

【漏洞影响的版本】

  • jackson-databind < 2.9.10.6

【安全版本】

  • jackson-databind 2.9.10.6

  • jackson-databind 2.10

【参考链接】

https://nvd.nist.gov/vuln/detail/CVE-2020-24616

c0e0f2308ec1761d3075593a65fb2cf5.gif

weixin_39843677
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jackson反序列化远程代码执行漏洞(CVE-2020-24616)复现
锋刃科技的博客
04-26 2667
简介 FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 影响版本 jackson-databind < 2.9.10.6 环境搭建 搭建一个Java项目,新建一个Poc类,下载并导入存在漏洞的包 导入存在漏洞的包 exp文件 编译并启动环境 javac Exploit.java py -3 -m http.server 88...
WebLogic WLS远程执行漏洞(CVE-2017-10271)验证
12-18
一段小代码,WebLogic WLS远程执行漏洞(CVE-2017-10271)验证。
FasterXML Jackson-databind远程代码执行漏洞 CVE-2020-8840 已亲自复现 未完成
qq_42430287的博客
12-27 1378
受影响版本的jackson-databind中缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,导致攻击者可通过JNDI注入的方式对此漏洞进行利用,成功时可以实现远程代码执行。2.0.0
CVE-2020-24616漏洞分析资料
最新发布
xillianpeng的专栏
04-29 274
参考资料:阿里云漏洞库Block one more gadget type (Anteros-DBCP, CVE-2020-24616) · Issue #2814 · FasterXML/jackson-databind · GitHubCVE-2020-xxxx:Jackson-databind RCE - 先知社区
jackson 反序列化string_Jackson反序列化远程代码执行漏洞(CVE202024616)的安全通告
weixin_39849127的博客
12-02 187
漏洞详情2020年8月27日,jackson-databind 官方发布了 jackson-databind 序列化漏洞的风险通告,漏洞编号为 CVE-2020-24616 。jackson-databind 是一套开源 java 高性能 JSON 处理器,受影响版本的 jackson-databind 中缺少黑名单类。如 br.com.anteros:Anteros-DBCP,可以绕过...
CVE-2020-24616: Jackson 多个反序列化安全漏洞通告
爱国小白帽
08-27 4009
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-082701 报告来源:360CERT 报告作者:360CERT 更新日期:2020-08-27 0x01 漏洞简述 2020年08月27日,360CERT监测发现jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DB
jackson 序列化_Jackson 反序列化安全漏洞CVE202024616
weixin_39528559的博客
12-02 893
概述近日,数字观星应急团队监测到jackson-databind发布了jackson-databind序列化漏洞 的风险通告。br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,可以绕过jackson-databind 黑名单限制,远程攻击者通过向使用该组件的web服务接口发送特制请求包,可以造成远程代码执行影响。风险等级:高危漏洞类型:远程代码执行,反...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)
09-14
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它涉及到组件T3协议处理中的对象反序列化过程。该漏洞允许攻击者通过构造恶意的T3请求,远程执行任意代码,从而...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令...
JAVA及Jackson反序列化漏洞.docx
07-27
反序列化漏洞通常出现在不安全反序列化操作中,攻击者可以通过构造恶意的序列化数据,使得在反序列化过程中执行非预期的代码。例如,当应用程序没有对反序列化的输入进行充分的验证和过滤时,攻击者可以注入恶意...
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool(又名嵌入 org.glassfish 中的 Xalan)相关的序列化小工具和类型之间的交互。 web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http:
WebLogic反序列化_CVE-2017-3248
09-06
WebLogic反序列化_CVE-2017-3248 java -jar weblogic_cmd.jar -C pwd -H 192.168.1.1 -P 7001 工具使用方法: -B Runtime Blind Execute Command maybe you should select os type -C <arg> (执行命令)Execute ...
s2 安恒 漏洞验证工具_Oracle WebLogic安全漏洞预警
weixin_29935511的博客
12-13 257
1.安全公告2019年10月15日,Oracle官方发布了2019年10月安全更新公告,包含了其家族多个产品的安全漏洞公告。其中有两个Oracle WebLogic Server的高危漏洞,对应CVE编号:CVE-2019-2890和CVE-2019-2891,漏洞公告链接:https://www.oracle.com/technetwork/security-advisory/cpu...
jackson 序列化_安全通告:jackson-databind序列化漏洞(CVE-2020-24616)
weixin_39629989的博客
12-02 367
漏洞说明】2020年8月25日,jackson-databind发布了Jackson-databind序列化漏洞安全通告,漏洞编号为CVE-2020-24616。FasterXML/jackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。该漏洞存在于br.com.ante...
com.fasterxml.jackson.core:jackson-databind漏洞2.9.10.3版本以前的问题分析
OuNuo5280的博客
04-24 7049
1. 漏洞描述 近日,在github上的项目自检过程中发现jackson-databind2.9.10.3版本以前的漏洞 高危漏洞: .FasterXML jackson-databind 2.0.0到2.9.10.2缺少某些xbean-reflect / JNDI阻止,如org.apache.xbean.propertyeditor.JndiConverter所示。 .2.9.10.2之前的...
安全反序列化_漏洞预警 | Jackson 多个反序列化安全漏洞
weixin_39814925的博客
12-11 235
0x00 漏洞编号CVE-2020-246160x01 危险等级中危0x02 漏洞概述Fasterxml Jackson 是美国 Fasterxml 公司的一款适用于 Java 的数据处理工具。jackson-databind 是其中的一个具有数据绑定功能的组件。Fasterxml jackson-databind 2.9.10.6之前的版本中存在安全漏洞,该漏洞源于进行了不安全的反序...
resttemplate 序列化_Weblogic反序列化漏洞(CVE-2020-2798,CVE-2020-2801)
weixin_39589644的博客
10-21 466
漏洞概述:Oracle官方发布4月份安全补丁, 补丁中包含启明星辰ADLab发现并第一时间提交给官方的漏洞漏洞编号为CVE-2020-2798和CVE-2020-2801。其中,CVE-2020-2798 CVVS评分为7.2分,CVE-2020-2801漏洞等级为高危,CVVS评分为9.8分。CVE-2020-2798和CVE-2020-2801漏洞都与T3协议反序列化有关,利用漏洞攻击者将生...
oracle11g远程命令执行漏洞,「漏洞通告」WebLogic多个远程代码执行漏洞
weixin_42519170的博客
04-03 600
一、漏洞概述京时间4月15日,Oracle官方发布了2020年4月关键补丁更新公告CPU(Critical Patch Update),修复了397个不同程度的漏洞。其中包括三个针对Weblogic的严重漏洞(CVE-2020-2801、CVE-2020-2883、CVE-2020-2884)和一个OracleCoherence远程代码执行漏洞(CVE-2020-2915),使用了Oracle...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值