介绍
【漏洞通告】Jackson-databind远程代码执行漏洞(CVE-2020-8840)通告
2月19日,NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行
漏洞(CVE-2020-8840),CVSS评分为9.8 。受影响版本的jackson-databind中由于缺少
某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,可
导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复,
请相关用户及时升级进行防护。
受影响版本
2.0.0 <= FasterXML jackson-databind <= 2.9.10.2
不受影响版本
FasterXML jackson-databind = 2.8.11.5
FasterXML jackson-databind = 2.9.10.3(暂未发布)
修复流程
1. 找到对应的Jar包:jackson-databind,jackson-core,jackson-core并替换新的Jar包即可!
原因:
由于Jar包jackson-databind同时还依赖了jackson-core和jackson-annation两个Jar包,所以在替换
的时候这三个一起替换即可,同时还需要注意这三个Jar包是同一个版本。
参考链接:https://nvd.nist.gov/vuln/detail/CVE-2020-8840
好记性不如笔记来的实在!!!