Fasterxml Jackson 是美国 Fasterxml 公司的一款适用于 Java 的数据处理工具。jackson-databind 是其中的一个具有数据绑定功能的组件。

Fasterxml jackson-databind 2.9.10.6之前的版本中存在安全漏洞，该漏洞源于进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷通过利用该漏洞在系统上执行任意代码。

CVE-2020-24616

br.com.anteros:Anteros-DBCP 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。

issue:2827

org.arrahtec:profiler-core 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。

issue:2826

com.nqadmin.rowset:jdbcrowsetimpl 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷利用该漏洞在系统上执行任意代码。

issue:2798

com.pastdev.httpcomponents:configuration 组件库进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷该漏洞在系统上执行任意代码。

CVE 编号

CVE-2020-24616

影响范围

• jackson-databind < 2.9.10.6

修复建议

1. jackson-databind 2.9.10.6 或更高的版本

参考

[1] https://mp.weixin.qq.com/s/TGmOLR-vQVRRdqszQyytHA

[2] https://github.com/Fasterxml/jackson-databind/releases/tag/jackson-databind-2.9.10.6

[3] https://nvd.nist.gov/vuln/detail/CVE-2020-24616

[4] https://github.com/Fasterxml/jackson-databind/issues/2827

[5] https://github.com/Fasterxml/jackson-databind/issues/2826

[6] https://github.com/Fasterxml/jackson-databind/issues/2798

[7] https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。