【风险通告】Jackson-databind多个反序列化漏洞-金山云

官网公告 > 产品公告 > 【风险通告】Jackson-databind多个反序列化漏洞

【风险通告】Jackson-databind多个反序列化漏洞

发布时间：2021-01-08 00:00:00

1月7日，金山云安全应急响应中心监测到jackson-databind官方发布安全更新，修复了11个反序列化漏洞，攻击者利用漏洞可实现远程代码执行。

本次修复的漏洞影响广泛，风险较高。建议使用了FasterXML jackson-databind的用户尽快升级至安全版本，避免遭受恶意攻击。

风险等级

高危

漏洞描述

FasterXML Jackson是一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。FasterXML jackson-databind 2.x < 2.9.10.8 版本均受影响。

CVE-2020-36179：

由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，攻击者可能该漏洞实现远程代码执行。

可参考：https://nvd.nist.gov/vuln/detail/CVE-2020-36179

CVE-2020-36180

由于org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，攻击者利用该漏洞实现远程代码执行。

可参考：https://nvd.nist.gov/vuln/detail/CVE-2020-36180

CVE-2020-36181

由于org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，攻击者利用该漏洞实现远程代码执行。

可参考：https://nvd.nist.gov/vuln/detail/CVE-2020-36181

CVE-2020-36182

由于org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，导致攻击者可利用该漏洞实现远程代码执行。

可参考：https://nvd.nist.gov/vuln/detail/CVE-2020-36182

CVE-2020-36183

由于org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化，导致攻击者可利用该漏洞实现远程代码执行。

可参考：https://nvd.nist.gov/vuln/detail/CVE-2020-36183

CVE-2020-36184

由于org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource组件库存在不安全的反序列化，导致攻击者可利用该漏洞实现远程代码执行。

可参考：https://nvd.nist.gov/vuln/detail/CVE-2020-36184

CVE-2020-36185

由于org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource组件库存在不安全的反序列化，导致攻击者可利用该漏洞实现远程代码执行。

可参考：https://nvd.nist.gov/vuln/detail/CVE-2020-36185

CVE-2020-36186

由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource组件库存在不安全的反序列化，导致攻击者可利用该漏洞实现远程代码执行。

可参考：https://nvd.nist.gov/vuln/detail/CVE-2020-36186

CVE-2020-36187

由于org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource组件库存在不安全的反序列化，导致攻击者可利用该漏洞实现远程代码执行。

可参考：https://nvd.nist.gov/vuln/detail/CVE-2020-36187

CVE-2020-36188

由于com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource组件库存在不安全的反序列化，导致攻击者可利用该漏洞实现远程代码执行。

可参考：https://nvd.nist.gov/vuln/detail/CVE-2020-36188

CVE-2020-36189

由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource组件库存在不安全的反序列化，导致攻击者可利用该漏洞实现远程代码执行。

可参考：https://nvd.nist.gov/vuln/detail/CVE-2020-36189

影响版本

FasterXML jackson-databind 2.x < 2.9.10.8

修复建议

尽快升级至FasterXML jackson-databind2.9.10.8版本

相关项目可直接修改maven或下载jar包替换更新使用最新版本，可参考：

https://github.com/FasterXML/jackson-databind/releases

参考链接

[1] https://mp.weixin.qq.com/s/Axo9lEYQtQTB1QVkDjaNqw

北京金山云网络技术有限公司

2021/01/07

以上就是金山云为您带来的【风险通告】Jackson-databind多个反序列化漏洞的全部内容，如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。

云服务器KEC-公有云服务器迁移到专属宿主机

【风险通告】Apache Flink 高危漏洞

关于我们

官网公告

【风险通告】Jackson-databind多个反序列化漏洞

金山云，开启您的云计算之旅