LoginSignup
0
0

More than 3 years have passed since last update.

@shimizukawasaki(清水 川崎)

[漏洞通告]CVE-2020-10673/jackson-databind JNDI注入导致远程代码执行

Posted at

漏洞描述

近日,亚信安全网络攻防实验室跟踪到jackson-databind更新了1个jndi注入的黑名单类.如果在项目包中存在该类的jar包且JDK版本满足注入版本,则可以使用JNDI注入的方式导致远程代码执行.该类为com.caucho.config.types.ResourceRef.

漏洞编号

CVE-2020-10673
Jackson内部编号2660

漏洞威胁等级

中危

不受影响范围

jackson-databind >= 2.9.10.4
jackson-databind >= 2.10.0

漏洞验证

image.png

老邻居fastjson在1.2.66版本受影响
image.png

修复建议

1.更新到最新版本
2.使用高版本JDK

时间轴

[0] 2020/03/17 FasterXML官方修复该漏洞
[1] 2020/03/20 亚信安全网络攻防实验室分析&复现该漏洞并发布漏洞通告

Reference

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0