FasterXML jackson-databind远程命令执行漏洞

FasterXML jackson-databind远程命令执行漏洞

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。

一、漏洞分析

公开日期：2019-07-23

漏洞编号：CNVD-2019-23994/CVE-2019-12384

危害等级：高危

漏洞描述：FasterXML jackson-databind 2.4.2-2+deb8u7版本中存在安全漏洞。攻击者可通过发送特制的JSON消息利用该漏洞读取服务器上任意的本地文件。

二、漏洞影响范围

       FasterXML jackson-databind 2.4.2-2+deb8u7

三、漏洞处置建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/FasterXML/jackson-databind/commit/c9ef4a10d6f6633cf470d6a469514b68fa2be234