全部产品
云市场

【漏洞公告】Jackson框架enableDefaultTyping方法反序列化漏洞

更新时间:2018-03-08 16:59:47

Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的字符串并提供对应的反序列化过程。由于其解析效率较高,Jackson目前是Spring MVC中内置使用的解析方式。

近期,Jackson框架2.7.10及2.8.9以下版本出现任意代码执行漏洞。攻击者利用该漏洞可以获得网站控制权,安全风险高。

漏洞详情见下文。


漏洞编号

暂无

漏洞名称

Jackson框架enableDefaultTyping方法反序列化漏洞

官方评级

高危

漏洞描述

该漏洞是由于Jackson框架enableDefaultTyping方法存在Java反序列化代码执行漏洞,攻击者利用漏洞可在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。

漏洞利用条件和方式

黑客可以远程代码执行来利用该漏洞。

漏洞影响范围

  • Jackson 2.7 < 2.7.10
  • Jackson 2.8 < 2.8.9

漏洞检测

检查对应的版本是否在受影响范围内。

漏洞修复建议(或缓解措施)

目前官方已经发布了2.7.10补丁,建议您下载更新。

情报来源

[1]. http://www.cnvd.org.cn/flaw/show/CNVD-2017-04483
[2]. https://github.com/FasterXML/jackson-databind/issues/1599