jackson-databind JNDI注入导致远程代码执行漏洞风险通告
发布时间 2020-03-14漏洞编号和级别
CVE编号:暂无,危险级别:中危,CVSS分值:官方未评定
影响版本
jackson-databind <= 2.10.3
漏洞概述
jackson-databind 是隶属 FasterXML 项目组下的JSON处理库。
近日,jackson-databind官方发布一则issue,漏洞出现在shiro-core这个package。如果在项目包中存在类org.apache.shiro.jndi.JndiObjectFactory的jar包,则可以使用JNDI注入的方式导致远程代码执行。攻击成功可获得服务器的控制权限(Web服务等级),该漏洞同时影响开启了autotype选项的fastjson。
漏洞验证
暂无PoC/EXP。
修复建议
更新jackson-databind到最新版本: https://github.com/FasterXML/jackson。
缓解措施:
排查项目中是否使用shiro-core。该次漏洞的核心原因是 shiro-core 中存在特殊的利用链允许用户触发 JNDI 远程类加载操作。将 shiro-core 移除可以缓解漏洞所带来的影响。
参考链接
https://github.com/FasterXML/jackson-databind/issues/2653