jackson序列化_Jackson反序列化远程代码执⾏漏洞预警,腾
讯御界⽀持检测
【漏洞简介】近⽇,Jackson官⽅发布安全issue,披露Jackson存在最新的反序列化远程代码执⾏漏洞(CVE-2019-14361和CVE-
2019-14379),可对6⽉21⽇披露的CVE-2019-12384漏洞绕过,成功利⽤可实现远程代码执⾏。建议Jackson的⽤户尽快升级⾄安全版本。
【Jackson介绍】Jackson是⼀个简单基于Java应⽤库,Jackson可以轻松的将Java对象转换成json对象和xml⽂档,同样也可以将json、xml转换成Java对象。
【风险评级】CVE-2019-14379 ⾼危CVE-2019-14361 ⾼危
【影响范围】受影响版本Jackson-databind < 2.9.9.2Jackson-databind < 2.10.0Jackson-databind < 2.7.9.6Jackson-databind < 2.8.11.4
不受影响版本Jackson-databind >= 2.9.9.2Jackson-databind >= 2.10.0Jackson-databind >= 2.7.9.6Jackson-databind >=cve漏洞库
2.8.11.4
【漏洞分析】Jackson存在最新的反序列化远程代码执⾏漏洞(CVE-2019-14361和CVE-2019-14439),可对6⽉21⽇披露的CVE-2019-12384反序列化漏洞补丁的绕过。攻击者可通过精⼼构造恶意的JSON并提交到服务器端,实现远程代码执⾏。
2.腾讯御界⾼级威胁检测系统已⽀持检测此类攻击

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。