【安全通告】Jackson-databind JNDI注入远程代码执行漏洞通告(CVE-2020-8840)

尊敬的标准互联用户,您好!

近日,标准互联监测到,Jackson-databind被爆存在JNDI注入导致的远程代码执行漏洞(漏洞编号:CVE-2020-8840),漏洞被利用可导致攻击者使用JNDI注入的方式实现远程代码执行。

为避免您的业务受影响,标准互联建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

近日,Jackson-databind新版本中修复了一个由JNDI注入导致的远程代码执行漏洞(漏洞编号:CVE-2020-8840),受影响版本的jackson-databind 中由于缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,可导致攻击者使用JNDI注入的方式实现远程代码执行。

风险等级

高风险

漏洞风险

远程代码执行等

影响版本

2.0.0 <= FasterXML jackson-databind <= 2.9.10.2

安全版本

FasterXML jackson-databind >= 2.9.10.3(暂未发布)

FasterXML jackson-databind >= 2.8.11.5

修复建议

目前官方均已发布新版本修复漏洞,标准互联建议您:

下载安全版本并进行更新或升级,下载地址:github.com/FasterXML/jackson-databind/releases

漏洞参考

1)官方安全通告:github.com/FasterXML/jackson-databind/issues/2620#

2)安全厂商通告:blog.nsfocus.net/cve-2020-8840/

2020年02月21日

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(2)

Appreciate the recommendation. Let me try it out.
OC 3个月前 (2020-02-29) 回复
内容违规,已被屏蔽!
ZT 3个月前 (2020-02-29) 回复