发布时间:2019-09-21 11:17:02,来源:中国信息通信研究院
一、基本情况
FasterXML jackson-databind 2.9.10之前版本中存在输入验证错误漏洞,CVE编号:CVE-2019-14540。该漏洞与com.zaxxer.hikari.HikariConfig有关,攻击者可利用该漏洞可远程执行命令。
二、攻击原理
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
当启用defaultTyping后会触发反序列化:
三、影响范围
受影响版本:Jackson <= 2.9.10
四、处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/FasterXML/jackson-databind/blob/master/release-notes/VERSION-2.x
五、参考链接
1)https://nvd.nist.gov/vuln/detail/CVE-2019-14540
2)http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201909-716