3月4日,Fasterxml jackson-databind官方披露了一个SSRF漏洞。Fasterxml jackson-databind是一个简单基于Java应用库,主要用于对象转换,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。该应用库在前不久曾曝出远程代码执行漏洞。
经国内安全研究人员分析,该漏洞也影响了FastJson解析库(1.2.66)。FastJson是阿里巴巴的的开源JSON解析库,用于对JSON格式的数据进行解析,可对Java Bean和JSON字符串进行双向转换,应用范围较广。
危害等级
严重
漏洞原理
存在漏洞的版本涉及存在一个来源于JRE的javax.swing类, 当在序列化时可被攻击者利用来执行SSRF攻击,目前该类已被加入黑名单。
漏洞影响
官方表示2.9.10.4以及>=2.10.0的版本不受影响
漏洞编号
<code>尚未分配
/<code>
修复建议
目前在官方发布网站有不受影响版本的软件,建议管理员及时进行软件防护升级(https://github.com/Fasterxm l/jackson-databind/releases)。
参考
[1] https://mp.weixin.qq.com/s/yFqdAW36tEo5aXZEN80SJA
[2] https://github.com/Fasterxml/jackson-databind/issues/2641
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
分享到:
閱讀更多 白帽子 的文章
