当前位置:首页 > 安全预警 > 正文

FasterXML jackson-databind 输入验证错误漏洞(CVE-2019-14540)预警

发布时间:2019-09-21 11:17:02,来源:中国信息通信研究院

      一、基本情况

FasterXML jackson-databind 2.9.10之前版本中存在输入验证错误漏洞,CVE编号:CVE-2019-14540。该漏洞与com.zaxxer.hikari.HikariConfig有关,攻击者可利用该漏洞可远程执行命令。

      二、攻击原理

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。

当启用defaultTyping后会触发反序列化:

图片.png

      三、影响范围

受影响版本:Jackson <= 2.9.10

      四、处置建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/FasterXML/jackson-databind/blob/master/release-notes/VERSION-2.x

      五、参考链接

1)https://nvd.nist.gov/vuln/detail/CVE-2019-14540

2)http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201909-716