安全公告/【CVE-2021-20190】

基本信息

漏洞名称:Jackson-databind 反序列化漏洞(CVE-2021-20190)
受影响操作系统:Asianux Server 3 (Quartet SP4)
危险等级:高危
影响源码包:Jackson
CVSS评分:8.1
发现日期:2024-03-29
修复版本:

漏洞描述

Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 jackson-databind存在反序列化远程代码执行漏洞,该漏洞是由于javax.swing.JTextPane/javax.swing.JEditorPane组件库存在不安全的反序列化,导致攻击者可以利用漏洞实现远程代码执行。

修复方式

将 Jackson-databind 升级到 2.6.7.5、2.9.10.7、2.10 及以上版本,下载地址:
https://github.com/FasterXML/jackson-databind/releases
https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind

漏洞判定

版本比对检测原理:检查当前系统中Jackson-databind版本是否在受影响版本范围内|版本比对检测结果:- jackson-databind
  当前安装版本:2.7.9.1
  应用相关信息:
  - 进程PID:12696
  - 应用路径:/home/weblogic12/oracle/middleware/oracle_common/modules/thirdparty/jackson-databind-2.7.9.1.jar
该主机存在此漏洞

补丁

参考

CVE-2021-20190,,CWE-502,CNNVD-202101-1474