jackson包_Jackson反序列化远程代码执⾏漏洞
(CVE202024616)的安全通告
漏洞详情2020年8⽉27⽇,jackson-databind 官⽅发布了 jackson-databind 序列化漏洞的风险通告,漏洞编号为 CVE-2020-24616。jackson-databind 是⼀套开源 java ⾼性能 JSON 处理器,受影响版本的 jackson-databind 中缺少⿊名单类。 如
br.anteros:Anteros-DBCP, 可以绕过 jackso n-data bind ⿊名单限制,远程攻击者通过向使⽤该组件的 web 服务接⼝发送特制请求包,可以造成远程代码执⾏影响。 此次版本升级官⽅还修复了以下利⽤链: org.arrahtec:profiler-core
wset:jdbcrowsetimpl com.pastdev.httpcomponents:configuration 影响版本cve漏洞库
jackson-databind < 2.9.10.6
修复建议
升级到 jackson-databind 2.9.10.6
参考链接

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。