漏洞标题
N/A
漏洞描述信息
在FasterXML jackson-databind 2.x 版本之前2.9.9版本中发现了一个多态类型问题。当为外部暴露的JSON端点启用默认类型(全局或特定属性)时,服务会在类路径中包含mysql-connector-java jar(8.0.14或更早版本),攻击者可以托管一个由受害者可达的 crafted MySQL 服务器,攻击者可以发送一个 crafted JSON 消息,使其能够读取服务器上的任意本地文件。这是因为缺少com.mysql.cj.jdbc.admin.MiniAdmin验证。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
A Polymorphic Typing issue was discovered in FasterXML jackson-databind 2.x before 2.9.9. When Default Typing is enabled (either globally or for a specific property) for an externally exposed JSON endpoint, the service has the mysql-connector-java jar (8.0.14 or earlier) in the classpath, and an attacker can host a crafted MySQL server reachable by the victim, an attacker can send a crafted JSON message that allows them to read arbitrary local files on the server. This occurs because of missing com.mysql.cj.jdbc.admin.MiniAdmin validation.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
FasterXML jackson-databind 代码问题漏洞
漏洞描述信息
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。 FasterXML jackson-databind 2.9.9之前的2.x版本中存在代码问题漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
CVSS信息
N/A
漏洞类别
代码问题