【高危安全通告】Jackson-databind远程代码执行漏洞
閱讀本文約花費: 1 (分鐘)
一、背景信息
近日,安全狗关注到jackson-databind官方发布最新版本,当中修复了一处反序列化远程代码执行漏洞(CVE-2020-24616),漏洞存在于br.com.anteros:Anteros-DBCP库类中,攻击者可以通过精心构造的请求包在受影响的 Jackson 服务器上进行远程代码执行。
安全狗提醒使用jackson-databind的用户及时安排自检并做好安全加固。
安全通告信息
| 漏洞名称 | Jackson-databind远程代码执行漏洞 |
| 漏洞影响版本 | jackson-databind < 2.9.10.6 |
| 漏洞危害等级 | 高危 |
| 厂商是否已发布漏洞补丁 | 是 |
| 版本更新地址 | https://github.com/FasterXML/jackson-databind/release |
| 安全狗总预警期数 | 136 |
| 安全狗发布预警日期 | 2020年8月26日 |
| 安全狗更新预警日期 | 2020年8月26日 |
| 发布者 | 安全狗海青实验室 |
处置措施
安全建议
目前官方已在最新版本中修复了该漏洞,请受影响的用户升级至安全版本。
下载地址如下:
https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6