FasterXML Jackson-databind远程代码执行误差清静通告

宣布时间 2019-07-23

误差编号和级别


CVE编号:CVE-2019-12384 ,危险级别:中危 ,CVSS分值:5.9 


影响版本


受影响的版本


FasterXML jackson-databind 2.0.0 – 2.9.9


误差概述


FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处置惩罚工具。Jackson-databind是其中的一个具有数据绑定功效的组件。


Jackson-databind可能允许攻击者通过使用无法阻止logback-core类举行多态反序列化而爆发种种影响。凭证类路径内容 ,可以造成远程代码执行。


误差验证


POC:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html。


修复建议


现在厂商已宣布升级补丁以修复误差 ,补丁获取链接:https://github.com/FasterXML/jackson-databind/commit/c9ef4a10d6f6633cf470d6a469514b68fa2be234。 


缓解步伐:


此误差依赖于应用程序的ClassPath中保存的logback-core(ch.qos.logback.core)。阻止使用保存logback-core的jackson-databind应用程序可阻止此误差的影响。


参考链接


http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-867