漏洞预警| jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)

  • A+
所属分类:安全漏洞
近日,FasterXML官方发布安全通告,披露jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183),同时公开感谢中睿天下iLab创新实验室发现并报告漏洞据了解,jackson-databind < 2.9.10.8存在的反序列化远程代码执行漏洞(CVE- 2020-36183),利用漏洞可导致远程执行服务器命令。
漏洞预警| jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)

01

0x01漏洞描述:

jackson-databind是一套开源java高性能JSON处理器,被发现存在一处反序列化远程代码执行漏洞(CVE-2020-36183)。
该漏洞是由于 org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPooll组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

02

0x02 漏洞影响范围

FasterXML jackson-databind 2.x < 2.9.10.8 

03

0x03 修复方案 

1、官方发布的最新版本已经修复了此漏洞,请受影响的用户下载最新版本防御此漏洞。

下载链接:

https://github.com/FasterXML/jackson-databind/releases
2、针对无法升级jackson-databind的用户,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击。注:移除组件可能会导致应用不可用风险,修复前请备份资料,并进行充分测试

04

0x04 睿眼系列产品解决方案

· 睿眼Web攻击溯源系统
睿眼web攻击溯源系统升级到v20041版版本,支持CVE-2020-36183漏洞检测。

· 睿眼网络攻击溯源系统

睿眼网络攻击溯源系统升级到v61060版本,支持CVE-2020-36183漏洞检测。



ilab创新实验室:

专注攻防对抗技术研究的核心部门,团队核心成员具有十多年一线攻防实战经验,在高级威胁检测、木马逆向分析、APT组织深度溯源等安全研究领域积累了大量成果。

现iLab创新实验室面向社会招聘优秀安全人才,岗位包括:

攻防渗透工程师、安全研究工程师、系统安全研究员、安全研发工程师

 

虚位以待,只等你来……

本文始发于微信公众号(中睿天下):漏洞预警| jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: