Jackson-databind 反序列化漏洞(CVE-2020-35728)风险通告

jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35728),利用漏洞可导致远程执行服务器命令。
1 漏洞详情
jackson-databind存在一处反序列化远程代码执行漏洞(CVE-2020-35728),该漏洞是由于com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。
jackson-databind是一套开源java高性能JSON处理器。
2 漏洞编号
CVE-2020-35728
3 漏洞等级
高危
4 受影响的版本
FasterXML jackson-databind 2.x < 2.9.10.8
5 安全版本
FasterXML jackson-databind >= 2.9.10.8
FasterXML jackson-databind >= 2.10.0
6 漏洞缓解建议
1.官方尚未推出补丁,建议客户使用 jackson-databind > 2.10的版本,此版本使用白名单验证,可彻底杜绝此类风险。
2.针对无法升级jackson-databind的,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)。
注:修复漏洞前请备份资料,并进行充分测试。
欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。
7 腾讯安全解决方案
1.腾讯T-Sec主机安全(云镜)漏洞库2020-12-28后的版本,已支持对Jackson-databind反序列化漏洞(CVE-2020-35728)进行检测。
2.腾讯 T-Sec Web应用防火墙(WAF)**已支持拦截Jackson-databind反序列化漏洞(CVE-2020-35728)。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-...
https://github.com/FasterXML/jackson-datab...
https://cowtowncoder.medium.com/on-jackson...
原创:腾讯安全威胁情报中心 今天
原创链接:https://mp.weixin.qq.com/s/mbgy9lpmJXn3gpk...
本作品采用《CC 协议》,转载必须注明作者和本文链接
推荐文章: