Jackson-databind 反序列化漏洞(CVE-2020-36179 ~ CVE-2020-36189)

已于 2023-10-11 16:07:35 修改
阅读量4.4k 收藏 1
点赞数
分类专栏: Spring-Boot 文章标签: spring boot web安全
于 2021-12-01 23:21:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45626288/article/details/121334450
版权

在这里插入图片描述
2021年1月7日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在多个反序列化远程代码执行漏洞(CVE-2020-36179 ~ CVE-2020-36189),利用该漏洞,攻击者可远程执行代码,控制服务器。

2020年12月17日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35490/CVE-2020-35491)。利用该漏洞,攻击者可控制服务器。

2020年12月27日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35728)。利用该漏洞,攻击者可远程执行代码,控制服务器。若未使用enableDefaultTyping()方法,可忽略该漏洞。

2021年1月19日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.6存在一处反序列化漏洞,此漏洞可能导致远程代码漏洞执行。

VMware Tanzu发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,公布了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞CVE-2020-5421。
CVE-2020-5421 可通过jsessionid路径参数,绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。
攻击者通过向用户发送带有批处理脚本扩展名的URL,使用户下载并执行文件,从而危害用户系统。VMware Tanzu官方已发布修复漏洞的新版本。
Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现,一般被直接称为 Spring。

解决方案

升级spring-boot 版本

CVE-2020-36189 jackson-databind java反序列化漏洞
mirocky的博客
10-13 3587
该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞,导致可执行任意命令。com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类中实现了url的输入和调用,通过可控的url进行payload的打入,即可依靠ObjectMapper的反序列化漏洞实现SSRF和RCE。,}]的形式,将对象的参数的类名打印,是json中的类名。
Jackson 反序列化漏洞
blackmagic的博客
08-07 2472
CVE-2017-7525 是 Jackson 数据绑定库(jackson-databind)中的一个严重漏洞,允许攻击者通过反序列化恶意构造的 JSON 数据来执行任意代码。攻击者构造特制的 JSON 数据,包含 @class 字段,指向一个易受攻击的类(如 com.zaxxer.hikari.HikariConfig,该类在初始化时会执行某些操作)。在这个示例中,@class 字段指定了 com.zaxxer.hikari.HikariConfig 类,而其属性则是 HikariCP 数据源的配置。
Jackson-databind 反序列化漏洞CVE-2017-7525、CVE-2017-17485)
zzzzz1284的博客
03-13 1535
CVE-2017-7525、CVE-2017-17485
Jackson Databind
最新发布
yuren_xia的博客
05-06 630
前端通过 AJAX 发送 JSON 数据,后端通过 Java 对象接收;后端返回 Java 对象,前端自动解析为 JSON。在 Spring Boot 中,默认集成 Jackson,无需额外配置即可支持 JSON 数据交互。将数据库查询结果(Java 对象列表)导出为 JSON 文件,或从 JSON 文件导入数据。是 Java 生态中处理 JSON 数据的核心库之一,主要用于实现。将 Java 对象转换为 JSON 字符串。将 JSON 字符串转换为 Java 对象。在 Spring MVC 应用中,
Jackson CVE-2018-19361 反序列化漏洞
王嘟嘟的博客
03-10 605
涉及版本:
logstash的jackson-databind漏洞修复
洁哥哥的博客
06-06 1736
【代码】jackson-databind漏洞修复。
Jackson-databind 反序列化漏洞CVE-2017-7525)
玄道的网安博客
06-17 3848
漏洞原理 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。 所以,本漏洞利用条件如下: 开启 Jackso
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
Jackson-databind 反序列化漏洞CVE-2017-17485)
玄道的网安博客
06-17 2060
漏洞搭建 cd /root/vulhub/jackson/CVE-2017-7525 docker-compose up -d 漏洞原理 利用 FileSystemXmlApplicationContext加载远程 bean 定义文件,创建 ProcessBuilder bean,并在 xml 文件中使用 Spring EL 来调用 start()方法实现命令执行 CVE-2017-7525 黑名单修复绕过,利用了 org.springframework.context.suppor...
利用Vulnhub复现漏洞 - Jackson-databind 反序列化漏洞CVE-2017-7525)
JiangBuLiu的博客
07-10 8488
Jackson-databind 反序列化漏洞CVE-2017-7525)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现端口设置浏览器设置BurpSuit设置CVE-2017-7525CVE-2017-17485 Vulnhub官方复现教程 https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 漏洞原理 Jackson-da...
Jackson-databind引发的漏洞问题分析
kshzhaohui的专栏
03-25 8263
前言 最近公司内部提供了一份应用高危漏洞的清单,其中提到了fastjson和jackson,因为之前对fastjson因为多态问题引发的反序列化问题有过了解,所以打算也做一个简单的分析。 漏洞简述 2020年08月27日,360CERT监测发现 jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,
jackson-databind-vuln:Jackson Databind漏洞
05-26
杰克逊·德宾宾·沃恩 Jackson Databind漏洞
jackson-CVE-2020-8840:FasterXMLjackson-databind远程代码执行漏洞
03-08
CVE-2020-8840 FasterXML / jackson-databind远程代码执行漏洞
jackson-databind反序列化漏洞
公众号shadow sock7
09-17 8295
CVE-2019-14540 A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to com.zaxxer.hikari.HikariConfig. 这里使用的是:com.zaxxer.hikari.HikariConfig CVE-2019-...
Jackson-databind 反序列化漏洞CVE-2017-7525&CVE-2017-17485)
EC_Carrot的博客
07-03 907
漏洞详细 具体详细请移步:https://vulhub.org/#/environments/jackson/CVE-2017-7525/ 因为本人实在不懂这方面,只能先复现,然后慢慢磨了。 漏洞复现 CVE-2017-7525 发送以下数据包,即可执行touch /tmp/prove1.txt命令 POST /exploit HTTP/1.1 Host: your-ip:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en
自检代码中trustmanager漏洞_Fasterxml Jacksondatabind漏洞分析与利用
weixin_39640767的博客
11-22 1205
一、 Fasterxml Jackson-databind组件介绍FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。二、各版本介绍Fasterxml的jackson...
jackson反序列化漏洞
l_l_c_q的博客
08-10 1831
jackson反序列化漏洞及POC
反序列化漏洞_Jackson反序列化漏洞
weixin_39839726的博客
12-14 1137
Author:平安银行应用安全团队@Glassy引言今天又看到有一些安全预警平台爆出的Jackson反序列漏洞,要求把Jackson升级到2.9.10.6,所以在下面对漏洞原理和适用范围做一下分析,并给出poc。补丁分析补丁特别简单,也如同漏洞公告一样,增加了几处黑名单。POC构造br.com.anteros.dbcp.AnterosDBCPDataSource先看一下该jar包的mav...
安全漏洞jackson-databind漏洞、 异常NoClassDefFoundError: Could not initialize class com.fasterxml.jackson
热门推荐
开着奥迪卖小猪
07-25 1万+
一、jackson-databind漏洞 国家信息安全漏洞库:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-867 二、发现项目中有使用2.6.3版本的jackson,所以进行升级 jackson-databind 升级到2.9.9.1、 jackson...
kafka怎么修复FasterXMLJackson-databind反序列化漏洞
10-29
针对FasterXML Jackson-databind的已知反序列化漏洞,通常需要采取以下步骤来修复: 1. **更新Jackson库**:检查你的项目是否使用的是受影响版本的Jackson-databind,如存在CVE漏洞(例如CVE-2019-14788)。如果有...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LOVE_DDZ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值