Mybatis 反序列化高危漏洞风险提示

Andrew 2020-10-16
Web安全 发布于 2020-10-16 13:56:43 阅读 38 评论 0

根据描述,当MyBatis启用了二级缓存功能(默认不开启)和未设置 JEP-290 filter,并在Mapper的xml中配置org.apache.ibatis.cache.impl.PerpetualCache.cache时存在反序列化漏洞,恶意攻击者可以通过该漏洞获取目标系统管理权限,建议及时更新漏洞修复的版本。

影响范围 1

Mybatis反序列化漏洞(CVE-2020-26945)影响以下版本:
Mybatis <= 3.5.5版本,建议更新到3.5.6以上版本

Github下载地址:
https://github.com/mybatis/mybatis-3/relea...

漏洞描述 2

CVE-2020-26945漏洞:根据分析,当MyBatis启用了二级缓存功能(默认不开启)和未设置 JEP-290 filter,并在Mapper的xml中配置org.apache.ibatis.cache.impl.PerpetualCache.cache时,存在反序列化漏洞。恶意攻击者可以通过该漏洞获取目标系统管理权限,影响较大。

缓解措施 3

高危:目前漏洞细节和利用代码等相关技术细节暂未公开,但可以通过补丁对比方式分析漏洞触发点,并开发漏洞利用代码,安恒应急响应中心已验证该漏洞的可利用性,建议及时测试并更新到漏洞修复的版本(3.5.6及以上),或部署必要的安全防护设备拦截恶意攻击代码。

临时缓解措施:

  1. 关闭二级缓存(在配置文件中);
  2. 设置JEP-290过滤器
    https://docs.oracle.com/en/java/javase/15/...

原创: 安恒信息应急响应中心
原文链接:https://mp.weixin.qq.com/s/nHe8_0TTFK9182i...

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!