亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Jackson 多個反序列化安全漏洞示例分析

發布時間:2021-12-20 18:42:11 來源:億速云 閱讀:388 作者:柒染 欄目:大數據

本篇文章給大家分享的是有關Jackson 多個反序列化安全漏洞示例分析,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

0x01 漏洞簡述

2020年08月27日,360CERT監測發現 jackson-databind 發布了 jackson-databind 序列化漏洞 的風險通告,該漏洞編號為 CVE-2020-24616 ,漏洞等級:高危,漏洞評分:7.5

br.com.anteros:Anteros-DBCP 中存在新的反序列化利用鏈,可以繞過 jackson-databind 黑名單限制,遠程攻擊者通過向使用該組件的web服務接口發送特制請求包,可以造成 遠程代碼執行 影響。

對此,360CERT建議廣大用戶及時將 jackson-databind 升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。

0x02 風險等級

360CERT對該漏洞的評定結果如下

評定方式等級
威脅等級高危
影響面有限
360CERT評分7.5

0x03 漏洞詳情

CVE-2020-24616: jackson-databind 反序列化漏洞

br.com.anteros:Anteros-DBCP 中存在新的反序列化利用鏈,可以繞過 jackson-databind 黑名單限制,遠程攻擊者通過向使用該組件的web服務接口發送特制請求包,可以造成 遠程代碼執行 影響。

jackson-databind Release 2.9.10.6

在該版本中還修復了下述利用鏈

- org.arrahtec:profiler-core

- com.nqadmin.rowset:jdbcrowsetimpl

- com.pastdev.httpcomponents:configuration

上述 package 中存在新的反序列化利用鏈,可以繞過 jackson-databind 黑名單限制,遠程攻擊者通過向使用該組件的web服務接口發送特制請求包,可以造成 遠程代碼執行 影響。

0x04 影響版本

- fasterxml:jackson-databind: <2.9.10.6

0x05 修復建議

通用修補建議

升級到 jackson-databind 2.9.10.6

以上就是Jackson 多個反序列化安全漏洞示例分析,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

南京市| 丹寨县| 汤阴县| 邢台县| 海宁市| 万宁市| 高青县| 龙南县| 博兴县| 莲花县| 莆田市| 河南省| 忻州市| 昌吉市| 定结县| 崇仁县| 延长县| 来宾市| 集安市| 察隅县| 包头市| 社旗县| 石屏县| 长宁区| 宜宾市| 无极县| 滁州市| 东莞市| 盈江县| 榕江县| 历史| 石嘴山市| 荃湾区| 明星| 黎平县| 县级市| 抚顺县| 喀喇沁旗| 施秉县| 河池市| 嵊州市|