漏洞描述
FasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。
此次漏洞中攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行。
此利用难度低 ,威胁程度高,影响面大。禹宏信安建议使用用户及时安装最新补丁,以免遭受黑客攻击。
漏洞编号
CVE-2020-8840
漏洞危害
攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行。
漏洞等级
高危
受影响版本
jackson-databind 2.0.0 – 2.9.10.2
经验证fastjson在开启了autoType功能的情况下,影响最新的fastjson v1.2.62版本
修复方案
1.升级 jackson-databind 到新版本
https://github.com/Fasterxml/jackson-databind/releases
2.本次漏洞调用链依赖xbean-reflect,如果项目中未用到可以移除
参考链接
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8840
- https://github.com/FasterXML/jackson-databind/issues/2620