FasterXML jackson-databind AnterosDBCPConfig 反序列化漏洞
漏洞信息
漏洞名称: FasterXML jackson-databind AnterosDBCPConfig 反序列化漏洞
漏洞编号:
- CVE: CVE-2020-9548
漏洞类型: 反序列化
漏洞等级: 严重
漏洞描述: ### 受影响产品
FasterXML jackson-databind是一个流行的Java库,用于将Java对象序列化为JSON和反序列化JSON为Java对象。它广泛应用于各种Java应用程序中,特别是在需要处理JSON数据的Web服务和应用程序中。由于其广泛的使用,该库中的漏洞可能影响到大量的系统和服务。
漏洞解释
该漏洞属于反序列化类型,具体涉及FasterXML jackson-databind 2.x版本在2.9.10.4之前对序列化小工具和类型交互的处理不当,特别是与br.com.anteros.dbcp.AnterosDBCPConfig(即anteros-core)相关的部分。攻击者可以通过构造恶意的JSON数据,利用该漏洞在目标系统上执行任意代码。
影响分析
此漏洞的严重性被标记为“严重”,因为它允许远程攻击者在无需认证的情况下执行任意代码,可能导致完全的系统接管。由于jackson-databind的广泛使用,该漏洞的影响范围非常广泛,可能影响到依赖该库的众多应用程序和服务。攻击者可以利用此漏洞进行数据泄露、服务中断或其他恶意活动。因此,建议所有使用受影响版本的用户尽快升级到2.9.10.4或更高版本以修复此漏洞。
产品厂商: FasterXML
产品名称: jackson-databind
影响版本: 2.x before 2.9.10.4
搜索语法: cpe:”cpe:2.3:o:debian:debian_linux”
来源: https://github.com/projectdiscovery/nuclei-templates/issues/12484
类型: projectdiscovery/nuclei-templates:github issues
来源概述
Description:
FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to br.com.anteros.dbcp.AnterosDBCPConfig (aka anteros-core).
Severity: Critical
POC:
KEV: True
Shodan Query: cpe:"cpe:2.3:o:debian:debian_linux"
Acceptance Criteria: The template must include a complete POC and should not rely solely on version-based detection. Contributors are required to provide debug data(
-debug) along with the template to help the triage team with validation or can also share a vulnerable environment like docker file.
Rewards will only be given once the template is fully validated by the team. Templates that are incomplete or invalid will not be accepted. Avoid adding code templates for CVEs that can be achieved using HTTP, TCP, or JavaScript. Such templates are blocked by default and won’t produce results, so we prioritize creating templates with other protocols unless exceptions are made.
You can check the FAQ for the Nuclei Templates Community Rewards Program here.