【安全通告】Jackson-databind JNDI注入远程代码执行漏洞通告(CVE-2020-8840)
摘要:
尊敬的腾讯云客户, 您好:
近日,腾讯云安全中心监测到Jackson-databind被爆存在JNDI注入导致的远程代码执行漏洞(漏洞编号:CVE-2020-8840),漏洞被利用可导致攻击者使用JNDI注入的方式实现远程代码执行。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
近日,Jackson-databind新版本中修复了一个由JNDI注入导致的远程代码执行漏洞(漏洞编号:CVE-2020-8840),受影响版本的jackson-databind 中由于缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,可导致攻击者使用JNDI注入的方式实现远程代码执行。
【风险等级】
高风险
【漏洞风险】
远程代码执行等
【影响版本】
2.0.0 <= FasterXML jackson-databind <= 2.9.10.2
【安全版本】
FasterXML jackson-databind >= 2.9.10.3(暂未发布)
FasterXML jackson-databind >= 2.8.11.5
【修复建议】
目前官方已发布部分版本修复漏洞,腾讯云安全团队建议您:
【漏洞参考】