jackson-databind JNDI注入导致远程代码执行误差危害通告

宣布时间 2020-03-14

误差编号和级别


CVE编号:暂无,危险级别:中危,CVSS分值:官方未评定


影响版本


jackson-databind <= 2.10.3


误差概述


jackson-databind 是隶属 FasterXML 项目组下的JSON处置惩罚库。


克日,jackson-databind官方宣布一则issue,误差泛起在shiro-core这个package。若是在项目包中保存类org.apache.shiro.jndi.JndiObjectFactory的jar包,则可以使用JNDI注入的方法导致远程代码执行。攻击乐成可获得服务器的控制权限(Web服务品级),该误差同时影响开启了autotype选项的fastjson。


误差验证


暂无PoC/EXP。


修复建议


更新jackson-databind到最新版本: https://github.com/FasterXML/jackson。

缓解步伐:

排查项目中是否使用shiro-core。该次误差的焦点缘故原由是 shiro-core 中保存特殊的使用链允许用户触发 JNDI 远程类加载操作。将 shiro-core 移除可以缓解误差所带来的影响。

参考链接

https://github.com/FasterXML/jackson-databind/issues/2653