[漏洞通告]CVE-2020-10673/jackson-databind JNDI注入导致远程代码执行

漏洞描述

近日,亚信安全网络攻防实验室跟踪到jackson-databind更新了1个jndi注入的黑名单类.如果在项目包中存在该类的jar包且JDK版本满足注入版本,则可以使用JNDI注入的方式导致远程代码执行.该类为com.caucho.config.types.ResourceRef.

漏洞编号

CVE-2020-10673
Jackson内部编号2660

漏洞威胁等级

中危

不受影响范围

jackson-databind >= 2.9.10.4
jackson-databind >= 2.10.0

漏洞验证

老邻居fastjson在1.2.66版本受影响

修复建议

1.更新到最新版本
2.使用高版本JDK

时间轴

[0] 2020/03/17 FasterXML官方修复该漏洞
[1] 2020/03/20 亚信安全网络攻防实验室分析&复现该漏洞并发布漏洞通告

Reference