FasterXML/jackson-databind远程代码实行漏洞风险通告

发布时间 2020-03-03

漏洞编号和级别


CVE编号:CVE-2020-9547,危险级别:中危,CVSS分值:官方未评定

CVE编号:CVE-2020-9548,危险级别:中危,CVSS分值:官方未评定


影响版本


FasterXML/jackson-databind


1. 项目中还使用了Anteros-Core和ibatis-sqlmap组件。

2. jackson-databind使用2.10.0之前的版本。


漏洞概述


jackson-databind 是隶属 FasterXML 项目组下的JSON处理库。近日,安全研究者向FasterXML提交了两个gadget,可用作jackson-databind的远程代码实行。


两个gadget分别是 Anteros-Core和ibatis-sqlmap。漏洞的核心原因是 Anteros-Core和ibatis-sqlmap中存在特殊的利用链允许用户触发 JNDI 远程类加载操作。


该漏洞影响jackson-databind对 JSON 文本的处理流程。攻击者利用特制的请求可以触发远程代码实行,攻击成功可获得服务器的控制权限(Web服务等级)。


漏洞验证


暂无PoC/EXP。


修复建议


更新jackson-databind到最新版本:https://github.com/FasterXML/jackson/wiki/Jackson-Release-2.10。


缓解措施:排查项目中是否使用Anteros-Core和ibatis-sqlmap,将 Anteros-Core和ibatis-sqlmap移除可以缓解漏洞所带来的影响。


参考链接


https://github.com/FasterXML/jackson-databind/issues/2634