LoginSignup
0
0

More than 3 years have passed since last update.

@shimizukawasaki(清水 川崎)

[漏洞通告]jackson-2642/jackson-databind && Fastjson SSRF(服务器端请求伪造)

Posted at

漏洞描述

近日,亚信安全网络攻防实验室跟踪到jackson-databind新增一个黑名单类,由threedr3am提交.该类来源于JDK,不需要依赖任何jar包,该类主要可用于SSRF(服务器端请求伪造).SSRF漏洞的危害,本文不多作赘述.

漏洞编号

Jackson内部编号2642

漏洞威胁等级

中危

不受影响范围

jackson-databind >= 2.9.10.4
jackson-databind >= 2.10.0

漏洞验证

这里选用2.9.10.2且请求dnslog作为例子

image.png

image.png

在fastjson1.2.66(最新版)中开启autotype以后,同样受影响

image.png

修复建议

1.更新jackson-databind到最新版本
2.在fastjson中禁用autotype

时间轴

[0] 2020/03/04 Jackson官方关闭该漏洞
[1] 2020/03/08 亚信安全网络攻防实验室分析&复现该漏洞并发布漏洞通告

Reference

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0