Jackson-databind多个反序列化漏洞风险通告，腾讯安全全面检测

2021年1月6日，jackson-databind官方发布公告，通报了11个反序列化漏洞。漏洞风险等级为“高危”，攻击者利用漏洞可能实现远程代码执行。

1

漏洞详情

2021年1月6日，jackson-databind官方发布公告，通报了多个反序列化漏洞，漏洞风险等级为“高危”，攻击者利用漏洞可能实现远程代码执行。

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。

CVE-2020-36179

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞，该漏洞是由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，导致攻击者可能利用漏洞实现远程代码执行。

参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2020-36179

CVE-2020-36180

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞，该漏洞是由于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，导致攻击者可能利用漏洞实现远程代码执行。

参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2020-36180

CVE-2020-36181

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞，该漏洞是由于org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，导致攻击者可能利用漏洞实现远程代码执行。

参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2020-36181

CVE-2020-36182

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞，该漏洞是由于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，导致攻击者可能利用漏洞实现远程代码执行。

参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2020-36182

CVE-2020-36183

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞，该漏洞是由于org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化，导致攻击者可能利用漏洞实现远程代码执行。

参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2020-36183

CVE-2020-36184

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞，该漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource组件库存在不安全的反序列化，导致攻击者可能利用漏洞实现远程代码执行。

参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2020-36184

CVE-2020-36185

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞，该漏洞是由于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource组件库存在不安全的反序列化，导致攻击者可能利用漏洞实现远程代码执行。

参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2020-36185

CVE-2020-36186

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞，该漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource组件库存在不安全的反序列化，导致攻击者可能利用漏洞实现远程代码执行。

参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2020-36186

CVE-2020-36187

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞，该漏洞是由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource组件库存在不安全的反序列化，导致攻击者可能利用漏洞实现远程代码执行。

参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2020-36187

CVE-2020-36188

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞，该漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource组件库存在不安全的反序列化，导致攻击者可能利用漏洞实现远程代码执行。

参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2020-36188

CVE-2020-36189

FasterXML jackson-databind 2.x < 2.9.10.8的版本存在该漏洞，该漏洞是由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource组件库存在不安全的反序列化，导致攻击者可能利用漏洞实现远程代码执行。

参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2020-36189

2

受影响的版本

FasterXML jackson-databind 2.x < 2.9.10.8

3

安全版本

FasterXML jackson-databind >= 2.9.10.8

4

漏洞缓解建议

1.腾讯安全专家建议受影响的用户将FasterXML jackson-databind升级到2.9.10.8；

2.针对无法升级jackson-databind的，排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击（可能会导致应用不可用风险）。

注：修复漏洞前请备份资料，并进行充分测试。

5

腾讯安全解决方案

1.腾讯T-Sec云防火墙规则库2021-1-7之后的版本，已支持对jackson-databind 多个反序列化漏洞利用的检测和拦截。腾讯云防火墙内置入侵防御功能，使用虚拟补丁机制防御最新的漏洞利用；

2.腾讯T-Sec高级威胁检测系统（御界）规则库2021-1-7之后的版本，已支持对jackson-databind 多个反序列化漏洞利用的检测；

3.腾讯T-Sec主机安全（云镜）漏洞库2021-1-7之后的版本，已支持检测jackson-databind 多个反序列化漏洞；

4.腾讯T-Sec Web 应用防火墙（WAF）已支持防护jackson-databind 多个反序列化漏洞。

欢迎长按识别以下二维码，添加腾讯安全小助手，咨询了解更多腾讯安全产品信息。

本文始发于微信公众号（腾讯安全威胁情报中心）：Jackson-databind多个反序列化漏洞风险通告，腾讯安全全面检测