CVE编号
CVE-2021-20190利用情况
EXP 已公开补丁情况
官方补丁披露时间
2021-01-20漏洞描述
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。jackson-databind 2.9.10.7之前版本存在代码问题漏洞,该漏洞源于fastxml错误地处理了序列化小部件和类型之间的交互。目前没有详细的漏洞细节提供。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/FasterXML/jackson-databind/issues/2854
参考链接 |
|
|---|---|
| https://bugzilla.redhat.com/show_bug.cgi?id=1916633 | |
| https://github.com/FasterXML/jackson-databind/issues/2854 | |
| https://lists.apache.org/thread.html/r380e9257bacb8551ee6fcf2c59890ae9477b2c7... | |
| https://lists.debian.org/debian-lts-announce/2021/04/msg00025.html | |
| https://security.netapp.com/advisory/ntap-20210219-0008/ | |
| https://www.oracle.com//security-alerts/cpujul2021.html |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | fasterxml | jackson-databind | * |
From (including) 2.9.0 |
Up to (excluding) 2.9.10.7 |
||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | jackson-databind | * |
Up to (excluding) 2.9.8-3+deb10u3 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | jackson-databind | * |
Up to (excluding) 2.11.1-1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_9 | jackson-databind | * |
Up to (excluding) 2.8.6-1+deb9u9 |
|||||
- 攻击路径 远程
- 攻击复杂度 困难
- 权限要求 普通权限
- 影响范围 有限影响
- EXP成熟度 EXP 已公开
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
还没有评论,来说两句吧...