关联漏洞
标题:
FasterXML jackson-databind 安全漏洞
(CVE-2020-10673)
描述:FasterXML jackson-databind是FasterXML公司的一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。 FasterXML jackson-databind 2.9.10.4之前的2.x版本中存在安全漏洞,该漏洞源于com.caucho.config.types.ResourceRef(caucho-quercus)进行了不安全的反序列化
描述
CVE-2020-10673
介绍
### 漏洞描述
近日,亚信安全网络攻防实验室跟踪到 `jackson-databind` 更新了1个jndi注入的黑名单类.如果在项目包中存在该类的jar包且JDK版本满足注入版本,则可以使用JNDI注入的方式导致远程代码执行.该类为 `com.caucho.config.types.ResourceRef`.
漏洞编号:
- CVE-2020-10673
- Jackson内部编号2660
## 影响范围
- jackson-databind <= 2.10.3
- fastjson <= 1.2.66
## 修复建议
目前官方已发表修复补丁,可进入
<https://github.com/alibaba/fastjson/releases>
页面下载最新版本。
## 参考
- [【安全通报】Fastjson发布高危漏洞补丁](https://nosec.org/home/detail/4368.html)
- [【漏洞通告】CVE-2020-10673/jackson-databind JNDI注入导致远程代码执行](https://mp.weixin.qq.com/s/nKTd9I_EUzEqHOrpCqGVbQ)
文件快照
[4.0K] /data/pocs/5b0cec6f4541901798d1185406de02f64985c164
├── [1.4K] pom.xml
├── [ 827] README.md
├── [4.0K] src
│ └── [4.0K] main
│ └── [4.0K] java
│ ├── [ 710] FastjsonMain.java
│ ├── [ 677] JacksonMain.java
│ ├── [ 509] Poc.class
│ └── [ 385] Poc.java
└── [4.0K] target
4 directories, 6 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。