安全通告:(CVE-2020-24616)

2020-08-27 来源:官方网站作者:官方网站

【漏洞说明】

2020年8月25日,jackson-databind发布了Jackson-databind序列化漏洞的安全通告,漏洞编号为CVE-2020-24616。FasterXML/jackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。

该漏洞存在于br.com.anteros:Anteros-DBCP库中,攻击者可以通过其中存在的反序列化利用链绕过jackson-databind的黑名单限制。攻击者通过发送特制的请求包实现远程代码执行。

 

【威胁等级】

高危

 

【影响范围】

FasterXML/jackson-databind: 2.9.10.6以下版本

 

【凯发方法】

升级到 jackson-databind 2.9.10.6

链接:https://github.com/FasterXML/jackson-databind/releases

 

【参考链接】

https://nvd.nist.gov/vuln/detail/CVE-2020-24616

https://github.com/FasterXML/jackson-databind/issues/2814

https://github.com/FasterXML/jackson-databind/releases



dafa888bet游戏必威体育app旧版本凯发娱乐凯发官方网站网络mg游戏网站