首页 > 安全研究 > 安全通报 > 安全通告

FasterXML jackson-databind远程代码执行漏洞安全通告

发布时间 2019-07-31

• 漏洞编号和级别


CVE编号:CVE-2019-14361,危险级别:高危,CVSS分值:官方未评定

CVE编号:CVE-2019-14379,危险级别:高危,CVSS分值:官方未评定


• 影响版本


受影响的版本


产品


FastXML


版本


FasterXMLjackson-databind<2.9.9.2
FasterXMLjackson-databind<2.10.0
FasterXMLjackson-databind<2.7.9.6

FasterXMLjackson-databind<2.8.11.4


组件


FasterXMLjackson-databind

FasterXMLback-ported


• 漏洞概述


FasterXMLjackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。


FasterXMLjackson-databind存在反序列化漏洞补丁绕过。攻击者可利用漏洞执行代码。


• 漏洞验证


EXP: https://github.com/Heartway


• 修复建议


1、升级FasterXMLjackson-databind版本到2.9.9.2,2.10.0,2.7.9.6,2.8.11.4
2、不开启Jackson的defaultTyping选项

• 参考链接


https://github.com/FasterXML/jackson-databind/issues/2387 
https://github.com/FasterXML/jackson-databind/issues/2389

上一篇 下一篇