漏洞预警| jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)

2021年4月24日03:08:20评论91 views字数 949阅读3分9秒阅读模式

近日，FasterXML官方发布安全通告，披露jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)，同时公开感谢中睿天下iLab创新实验室发现并报告漏洞。据了解，jackson-databind < 2.9.10.8存在的反序列化远程代码执行漏洞(CVE- 2020-36183)，利用漏洞可导致远程执行服务器命令。

漏洞预警| jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)

0x01漏洞描述:

jackson-databind是一套开源java高性能JSON处理器，被发现存在一处反序列化远程代码执行漏洞(CVE-2020-36183)。

该漏洞是由于 org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPooll组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

0x02 漏洞影响范围

FasterXML jackson-databind 2.x < 2.9.10.8

0x03 修复方案

1、官方发布的最新版本已经修复了此漏洞，请受影响的用户下载最新版本防御此漏洞。

下载链接:

https://github.com/FasterXML/jackson-databind/releases

2、针对无法升级jackson-databind的用户，排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击。注:移除组件可能会导致应用不可用风险，修复前请备份资料，并进行充分测试

0x04 睿眼系列产品解决方案

· 睿眼Web攻击溯源系统

睿眼web攻击溯源系统升级到v20041版版本，支持CVE-2020-36183漏洞检测。

· 睿眼网络攻击溯源系统

睿眼网络攻击溯源系统升级到v61060版本，支持CVE-2020-36183漏洞检测。

ilab创新实验室：

专注攻防对抗技术研究的核心部门，团队核心成员具有十多年一线攻防实战经验，在高级威胁检测、木马逆向分析、APT组织深度溯源等安全研究领域积累了大量成果。

现iLab创新实验室面向社会招聘优秀安全人才，岗位包括：

攻防渗透工程师、安全研究工程师、系统安全研究员、安全研发工程师

虚位以待，只等你来……

本文始发于微信公众号（中睿天下）：漏洞预警| jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞预警| jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)

用友NC Cloud importhttpscer接口存在任意文件上传漏洞

GL.iNet 路由器身份验证绕过漏洞 (CVE-2023-46453)

【漏洞预警】SEMCMS安全漏洞(CVE-2024-30938)

1day分享｜ Geoserver命令执行漏洞

漏洞预警 JEECMS o_upload 文件上传漏洞

用友U9 PatchFile.asmx接口存在任意文件上传漏洞

万户ezOFFICE-wf_printnum.jspSQL注入漏洞-附py

【漏洞预警】Progress Flowmon命令注入漏洞（CVE-2024-2389）

某捷通T KeyInfoList.aspx sql注入-附py

泰博云平台solr接口存在SSRF漏洞|漏洞预警

发表评论

在线咨询

微信