Jackson 多個反序列化安全漏洞示例分析

本篇文章給大家分享的是有關(guān)Jackson 多個反序列化安全漏洞示例分析，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

0x01 漏洞簡述

2020年08月27日，360CERT監(jiān)測發(fā)現(xiàn) jackson-databind 發(fā)布了 jackson-databind 序列化漏洞 的風(fēng)險通告，該漏洞編號為 CVE-2020-24616 ，漏洞等級：高危，漏洞評分：7.5。

br.com.anteros:Anteros-DBCP 中存在新的反序列化利用鏈，可以繞過 jackson-databind 黑名單限制，遠程攻擊者通過向使用該組件的web服務(wù)接口發(fā)送特制請求包，可以造成 遠程代碼執(zhí)行 影響。

對此，360CERT建議廣大用戶及時將 jackson-databind 升級到最新版本。與此同時，請做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

0x02 風(fēng)險等級

360CERT對該漏洞的評定結(jié)果如下

0x03 漏洞詳情

CVE-2020-24616: jackson-databind 反序列化漏洞

br.com.anteros:Anteros-DBCP 中存在新的反序列化利用鏈，可以繞過 jackson-databind 黑名單限制，遠程攻擊者通過向使用該組件的web服務(wù)接口發(fā)送特制請求包，可以造成 遠程代碼執(zhí)行 影響。

jackson-databind Release 2.9.10.6

在該版本中還修復(fù)了下述利用鏈

- org.arrahtec:profiler-core

- com.nqadmin.rowset:jdbcrowsetimpl

- com.pastdev.httpcomponents:configuration

上述 package 中存在新的反序列化利用鏈，可以繞過 jackson-databind 黑名單限制，遠程攻擊者通過向使用該組件的web服務(wù)接口發(fā)送特制請求包，可以造成 遠程代碼執(zhí)行 影響。

0x04 影響版本

- fasterxml:jackson-databind: <2.9.10.6

0x05 修復(fù)建議

通用修補建議

升級到 jackson-databind 2.9.10.6

以上就是Jackson 多個反序列化安全漏洞示例分析，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。