通告编号:NS-2020-0010
2020-02-21
TAG: | Jackson-databind、远程代码执行、CVE-2020-8840 |
---|---|
漏洞危害: | 攻击者利用此漏洞,可造成远程代码执行。 |
版本: | 1.0 |
1
漏洞概述
2月19日,NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行漏洞(CVE-2020-8840),CVSS评分为9.8 。受影响版本的jackson-databind中由于缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,可导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复,请相关用户及时升级进行防护。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-8840
SEE MORE →
2影响范围
受影响版本
不受影响版本
3漏洞检测
3.1 版本检测
建议开发人员排查应用程序中对Jackson-databind组件的引入情况,包括是否引入以及版本详情。以Maven项目为例,排查方法如下所示:
检查pom.xml相关文件对jackson-databind引入情况,查看当前使用的版本。
若当前版本在受影响范围内,则可能存在安全风险。
4漏洞防护
4.1 官方升级
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,暂未发布新版本的请持续关注官方信息,下载链接:
https://github.com/FasterXML/jackson-databind/releases
开发人员也可通过配置Maven的方式对应用升级并编译发布,配置方法如下:
<!-- https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind -->
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.8.11.5</version>
</dependency>
4.2 产品防护
绿盟科技Web应用防护系统的历史防护规则(27004899)已具备对此漏洞的防护能力,请相关用户及时更新WAF产品规则,以确保有效防护。