jackson框架java反序列化漏洞_预警Jackson < 2.9.9.1 反序列化远程代码执行漏洞(CVE-2019-12384)...

最新推荐文章于 2023-08-10 10:00:43 发布
最新推荐文章于 2023-08-10 10:00:43 发布
阅读量570 收藏
点赞数
文章标签: jackson框架java反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42540248/article/details/115066021
版权

2019年7月23日,本站安全专题监测到有安全研究人员披露Jackson < 2.9.9.1 存在反序列化远程代码执行漏洞(CVE-2019-12384),利用可导致远程执行服务器命令,官方git已发布公告说明,请使用到Jackson的用户尽快升级至安全版本。

漏洞描述

Jackson是一套开源java高性能JSON处理器,其在反序列化处理JSON格式时存在缺陷,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。本站安全专题提醒Jackson用户尽快采取安全措施阻止漏洞攻击。

风险评级

CVE-2019-12384 高危

影响版本

jackson-databind < 2.9.9.1

安全版本

jackson-databind >= 2.9.9.1

安全建议

相关链接

云盾云中心已支持对该漏洞检测

云盾云中心应急漏洞模块已支持对该漏洞一键检测

我们会关注后续进展,请随时关注官方公告。

内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。

本站安全专题

2019.7.23

丹丹在这里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jackson 远程命令执行漏洞CVE-2019-12384
玄道的网安博客
06-26 8172
前言 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 影响版本 Jackson-databind 2.0.0 ~2.9.9.1 环境搭建 创建一个docker-compose.yml的文件 version: '2' services: web: image: te
jackson 反序列化string_漏洞预警|Jackson远程代码执行高危漏洞分析(CVE201912384)...
weixin_35128151的博客
11-29 639
漏洞描述近日,HSCERT监测到,国外安全研究员在分析一个使用Jackson库对JSON进行反序列化的应用程序时,发现了一个反序列化漏洞,可以控制要反序列化的类。我们分析复现如何利用此反序列化漏洞来触发服务器端请求伪造(SSRF)漏洞远程代码执行漏洞(RCE)。漏洞对应的编号为CVE-2019-12384,RedHat的多个分支受该漏洞影响,如下所示:触发条件触发这个Jackson漏洞...
jackson框架java反序列化漏洞_Jackson CVE-2019-12384: 反序列化漏洞复现
weixin_39830200的博客
02-23 418
文章参考:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html环境搭建引入jar包:ssrf payload:"[\"ch.qos.logback.core.db.DriverManagerConnectionSource\", {\"url\":\"jdbc:h2:tcp://139.196.103.119:9999/test\"}]...
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
最新发布
u011250186的博客
08-10 593
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
(环境搭建+复现)CVE-2019-12384 Jackson 远程代码执行漏洞
daxi0ng的博客
03-30 4250
1、【CVE编号】 CVE-2019-12384 2、【漏洞名称】 Jackson 远程命令执行漏洞 3、【靶标分类】 Web类型类靶标 4、【影响版本】 Jackson-databind 2.X < 2.9.9.1 5、【漏洞分类】 代码执行 6、【漏洞等级】 高 7、【漏洞简介】 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enab...
java反序列化漏洞-验证.rar
06-25
描述中提到的“java反序列化漏洞-验证jar”是一个Java执行文件,很可能包含了一个用于测试目标系统是否存在反序列化漏洞的工具或者示例代码。这个JAR文件可能通过模拟恶意的序列化对象,尝试在目标系统上执行代码...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
JAVAJackson反序列化漏洞.docx
07-27
CVE-2020-10673为例,这是一个针对Jackson库的反序列化漏洞,它影响了Jackson 2.9.2版本。复现该漏洞通常涉及构造特定的JSON输入,利用Jackson反序列化时的弱点,触发恶意行为。在复现过程中,需要设置合适的环境...
jackson-databind-2.9.9.jar
08-04
jackson-databind-2.9.9.jar配合使用jackson-annotations-2.9.9.jar,jackson-code-2.9.9.jar
jackson-2.9.9.rar
07-22
Spring MVC 用到的 json 工具 jar 总共三个文件 jackson-annotations-2.9.9.jar,jackson-core-2.9.9.jar, jackson-databind-2.9.9.jar
jackson2.9.9整合包.rar
08-02
jackson-annotations-2.9.9.jar jackson-core-2.9.9.jar jackson-databind-2.9.9.1.jar 避免jackson-databind漏洞问题
Jackson_RCE-CVE-2019-12384:CVE-2019-12384 漏洞测试环境
05-26
环境搭建 将项目导入到idea,再配置好maven之后设置自动导入依赖库,然后在本地的web空目录写入如下文件,保存为exec.sql。并启动一个http server: CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { String[] command = {"/bin/bash", "-c", cmd}; java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter("\0A"); return s.hasNext() ? s.next() : ""; } $$; CALL SHEL
解析json的jar包:jackson-core2.9.9、jackson-annotations2.9.9、jackson-databind2.9.9
10-09
解析json的jar包:jackson-core2.9.9、jackson-annotations2.9.9、jackson-databind2.9.9
jackson 反序列化string_Jackson反序列化远程代码执行漏洞(CVE202024616)的安全通告
weixin_39849127的博客
12-02 191
漏洞详情2020年8月27日,jackson-databind 官方发布了 jackson-databind 序列化漏洞的风险通告,漏洞编号为 CVE-2020-24616 。jackson-databind 是一套开源 java 高性能 JSON 处理器,受影响版本的 jackson-databind 中缺少黑名单类。如 br.com.anteros:Anteros-DBCP,可以绕过...
jackson-cve-2019-12384
haha1314的博客
08-07 602
jackson-cve-2019-12384Jackson库对 JSON 进行反序列化的时候,存在反序列化漏洞,控制好反序列化的类,就能触发服务端请求伪造(SSRF)和远程代码执行漏洞(RCE)。 漏洞原理和分析参考: 运行漏洞环境: git clone https://github.com/cnsimo/vu1hub.git cd vu1hub/jackson/CVE-2019-12384-RCE/ docker-compose up -d 服务器IP:192.168.88.13 攻击机kali:1
java 漏洞复现_CVE-2019-12384漏洞分析及复现
weixin_42463997的博客
03-02 1081
原标题:CVE-2019-12384漏洞分析及复现*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。引言近期关于Jackson的RCE漏洞CVE-2019-12384爆出,关于漏洞的复现以及依赖,这里已经给出,笔者这边使用java的环境重新复现了一下,权当给各位看官当个翻译,也让在java上进行漏洞复现的兄弟们少走点弯路。环境准备本...
JavaJackson反序列化漏洞深度解析
"深入解析JAVAJackson反序列化漏洞" 本文主要探讨了JavaJackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值