您好,登錄后才能下訂單哦!
本篇文章給大家分享的是有關(guān)Jackson 多個反序列化安全漏洞示例分析,小編覺得挺實用的,因此分享給大家學(xué)習(xí),希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。
2020年08月27日,360CERT監(jiān)測發(fā)現(xiàn) jackson-databind
發(fā)布了 jackson-databind 序列化漏洞
的風(fēng)險通告,該漏洞編號為 CVE-2020-24616
,漏洞等級:高危
,漏洞評分:7.5
。
br.com.anteros:Anteros-DBCP
中存在新的反序列化利用鏈,可以繞過 jackson-databind
黑名單限制,遠程攻擊者通過向使用該組件的web服務(wù)接口發(fā)送特制請求包,可以造成 遠程代碼執(zhí)行
影響。
對此,360CERT建議廣大用戶及時將 jackson-databind
升級到最新版本。與此同時,請做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。
360CERT對該漏洞的評定結(jié)果如下
評定方式 | 等級 |
---|---|
威脅等級 | 高危 |
影響面 | 有限 |
360CERT評分 | 7.5 |
br.com.anteros:Anteros-DBCP
中存在新的反序列化利用鏈,可以繞過 jackson-databind
黑名單限制,遠程攻擊者通過向使用該組件的web服務(wù)接口發(fā)送特制請求包,可以造成 遠程代碼執(zhí)行
影響。
在該版本中還修復(fù)了下述利用鏈
- org.arrahtec:profiler-core
- com.nqadmin.rowset:jdbcrowsetimpl
- com.pastdev.httpcomponents:configuration
上述 package 中存在新的反序列化利用鏈,可以繞過 jackson-databind
黑名單限制,遠程攻擊者通過向使用該組件的web服務(wù)接口發(fā)送特制請求包,可以造成 遠程代碼執(zhí)行
影響。
- fasterxml:jackson-databind
: <2.9.10.6
升級到 jackson-databind 2.9.10.6
以上就是Jackson 多個反序列化安全漏洞示例分析,小編相信有部分知識點可能是我們?nèi)粘9ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。