FasterXML jackson-databind 2.9.10.6之前的版本在处理序列化交互时可能导致远程代码执行。
【漏洞描述】
FasterXML Jackson发布了新的高危漏洞(漏洞编号:CVE-2020-24616),其官方团队发布了 jackson-databind 的新版本 2.9.10.6,其中修复了几个反序列化漏洞。
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.6之前的版本中存在安全漏洞,该漏洞源于不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统执行任意代码。
【漏洞等级】
中危
【漏洞影响的版本】
jackson-databind < 2.9.10.6
【安全版本】
jackson-databind 2.9.10.6
jackson-databind 2.10
【参考链接】
https://nvd.nist.gov/vuln/detail/CVE-2020-24616