FasterXML jackson-databind远程代码实行漏洞安全通告

发布时间 2019-07-31

? 漏洞编号和级别


CVE编号:CVE-2019-14361,危险级别:高危,CVSS分值:官方未评定

CVE编号:CVE-2019-14379,危险级别:高危,CVSS分值:官方未评定


影响版本


受影响的版本


产品


FastXML


版本


FasterXMLjackson-databind<2.9.9.2
FasterXMLjackson-databind<2.10.0
FasterXMLjackson-databind<2.7.9.6

FasterXMLjackson-databind<2.8.11.4


组件


FasterXMLjackson-databind

FasterXMLback-ported


漏洞概述


FasterXMLjackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。


FasterXMLjackson-databind存在反序列化漏洞补丁绕过。攻击者可利用漏洞实行代码。


漏洞验证


EXP: https://github.com/Heartway


修复建议


1、升级FasterXMLjackson-databind版本到2.9.9.2,2.10.0,2.7.9.6,2.8.11.4
2、不开启Jackson的defaultTyping选项

参考链接


https://github.com/FasterXML/jackson-databind/issues/2387 
https://github.com/FasterXML/jackson-databind/issues/2389