[漏洞通告]jackson-2670/2680/jackson-databind JNDI注入导致远程代码执行

漏洞描述

近日,亚信安全网络攻防实验室跟踪到jackson-databind更新了3个jndi注入的黑名单类.如果在项目包中存在该类的jar包且JDK版本满足注入版本,则可以使用JNDI注入的方式导致远程代码执行.类名如下:

org.apache.openjpa.ee.WASRegistryManagedRuntime
org.springframework.aop.config.MethodLocatingFactoryBean
org.springframework.beans.factory.config.BeanReferenceFactoryBean

漏洞编号

Jackson内部编号2670
Jackson内部编号2680

漏洞威胁等级

中危

不受影响范围

无

漏洞验证

使用jackson-databind 2.11.0.rc1配合org.springframework.beans.factory.config.BeanReferenceFactoryBean验证

修复建议

等待官方更新

时间轴

[0] 2020/04/07 亚信安全网络攻防实验室分析&复现该漏洞并发布漏洞通告

Reference