Jackson-databind 反序列化漏洞(CVE-2020-35728)風險通告
jackson-databind官方發布安全通告,披露jackson-databind < 2.9.10.8存在反序列化遠程代碼執行漏洞(CVE-2020-35728),利用漏洞可導致遠程執行服務器命令。
1 漏洞詳情
jackson-databind存在一處反序列化遠程代碼執行漏洞(CVE-2020-35728),該漏洞是由于com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool組件庫存在不安全的反序列化,導致攻擊者可以利用漏洞實現遠程代碼執行。
jackson-databind是一套開源java高性能JSON處理器。
2 漏洞編號
CVE-2020-35728
3 漏洞等級
高危
4 受影響的版本
FasterXML jackson-databind 2.x < 2.9.10.8
5 安全版本
FasterXML jackson-databind >= 2.9.10.8
FasterXML jackson-databind >= 2.10.0
6 漏洞緩解建議
1.官方尚未推出補丁,建議客戶使用 jackson-databind > 2.10的版本,此版本使用白名單驗證,可徹底杜絕此類風險。
2.針對無法升級jackson-databind的,排查并將相關jar組件從應用依賴中移除可阻止漏洞攻擊(可能會導致應用不可用風險)。
注:修復漏洞前請備份資料,并進行充分測試。
歡迎長按識別以下二維碼,添加騰訊安全小助手,咨詢了解更多騰訊安全產品信息。
7 騰訊安全解決方案
1.騰訊T-Sec主機安全(云鏡)漏洞庫2020-12-28后的版本,已支持對Jackson-databind反序列化漏洞(CVE-2020-35728)進行檢測。
2.騰訊 T-Sec Web應用防火墻(WAF)**已支持攔截Jackson-databind反序列化漏洞(CVE-2020-35728)。
參考鏈接:
https://nvd.nist.gov/vuln/detail/CVE-2020-...
https://github.com/FasterXML/jackson-datab...
https://cowtowncoder.medium.com/on-jackson...
原創:騰訊安全威脅情報中心 今天
原創鏈接:https://mp.weixin.qq.com/s/mbgy9lpmJXn3gpk...
