漏洞预警| jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183) – 作者:zorelworld

近日，FasterXML官方发布安全通告，披露jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)，同时公开感谢中睿天下iLab创新实验室发现并报告漏洞。据了解，jackson-databind < 2.9.10.8存在的反序列化远程代码执行漏洞(CVE- 2020-36183)，利用漏洞可导致远程执行服务器命令。

0x01漏洞描述:

jackson-databind是一套开源java高性能JSON处理器，被发现存在一处反序列化远程代码执行漏洞(CVE-2020-36183)。该漏洞是由于 org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPooll组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

0x02 漏洞影响范围

FasterXML jackson-databind 2.x < 2.9.10.8

0x03 修复方案 

1、官方发布的最新版本已经修复了此漏洞，请受影响的用户下载最新版本防御此漏洞。

下载链接:

https://github.com/FasterXML/jackson-databind/releases2、针对无法升级jackson-databind的用户，排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击。注:移除组件可能会导致应用不可用风险，修复前请备份资料，并进行充分测试

0x04 睿眼系列产品解决方案

· 睿眼Web攻击溯源系统睿眼web攻击溯源系统升级到v20041版版本，支持CVE-2020-36183漏洞检测。

· 睿眼网络攻击溯源系统

睿眼网络攻击溯源系统升级到v61060版本，支持CVE-2020-36183漏洞检测。

ilab创新实验室：

专注攻防对抗技术研究的核心部门，团队核心成员具有十多年一线攻防实战经验，在高级威胁检测、木马逆向分析、APT组织深度溯源等安全研究领域积累了大量成果。

现iLab创新实验室面向社会招聘优秀安全人才，岗位包括：

攻防渗透工程师、安全研究工程师、系统安全研究员、安全研发工程师

虚位以待，只等你来……

来源：freebuf.com 2021-02-20 18:05:23 by: zorelworld