分享到:
安全公告

jackson-databind 最新反序列化远程代码执行漏洞预警(CVE-2020-24750)

发布时间:2020/9/22 8:38:22     阅读:2343 次

一、概要

近日,我们关注到业界爆出jackson-databind存在一处新的反序列化远程代码执行漏洞(CVE-2020-24750),该漏洞是由于com.pastdev.httpcomponents:configuration 组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

我们提醒使用jackson-databind的用户及时安排自检并做好安全加固。

参考链接:

https://github.com/FasterXML/jackson-databind/issues/2798

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

jackson-databind < 2.9.10.6 

安全版本:

jackson-databind 2.9.10.6

四、漏洞处置

目前官方已在最新版本中修复了该漏洞,请受影响的用户升级至安全版本。

下载地址:https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6

注:修复漏洞前请将资料备份,并进行充分测试。

作者:
来源:
关键词:
[创新地理知识·共享地理价值]
服务热线