漏洞通告FasterXML Jackson-databind 远程代码执行漏洞 （CVE-2020-35728）

Posted 2021-03-30 深信服千里目安全实验室

2020年12月27日，FasterXML官方发布安全通告，修复了编号为 CVE-2020-35728的高危远程代码执行漏洞，公开致谢深信服千里目安全实验室。

漏洞名称 : FasterXML Jackson-databind远程代码执行漏洞 CVE-2020-35728

威胁等级 : 高危

影响范围 : Jackson-databind 2.0.0 - 2.9.10.7

漏洞类型 : 远程代码执行

利用难度 : 简单

漏洞分析

1 FasterXML Jackson 组件介绍

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象，同样也可以将json转换成Java对象。

2 漏洞描述

2020年12月27日，jackson-databind官方发布安全通告，披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞（CVE-2020-35728），利用此漏洞可导致远程执行服务器命令。该漏洞是由JNDI注入导致远程代码执行，Jackson-databind 2.0.0 - 2.9.10.7版本中缺少org.glassfish.web/javax.servlet.jsp.jstl依赖中的危险类黑名单，攻击者可以利用上述缺陷，绕过限制，实现JNDI注入，最终在受害主机上执行任意代码。

3 漏洞复现

搭建Jackson-databind 2.9.10.7环境，攻击者发送精心构造的恶意数据。效果如图：

影响范围

目前受影响的Jackson-databind版本：

Jackson-databind 2.0.0 - 2.9.10.7

解决方案

1 修复建议

官方发布的最新版本已经修复了此漏洞，请受影响的用户下载最新版本防御此漏洞。

下载链接：https://github.com/FasterXML/jackson-databind/releases

2 深信服解决方案

【深信服下一代防火墙】可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

【深信服云盾】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【深信服安全感知平台】可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初，云端安全专家即对客户的网络环境进行漏洞扫描，保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。

时间轴

2020/12/23  深信服千里目安全实验室提交漏洞信息至官方团队

2020/12/27  官方发布安全通告，并致谢深信服千里目安全实验室

2020/12/29  深信服千里目安全实验室发布漏洞通告

参考链接

https://github.com/FasterXML/jackson-databind/issues/2999

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。

深信服千里目安全实验室

深信服科技旗下安全实验室，致力于网络安全攻防技术的研究和积累，深度洞察未知网络安全威胁，解读前沿安全技术。

推荐阅读：

1. 
   

深信服千里目安全实验室

深信服科技旗下安全实验室，致力于网络安全攻防技术的研究和积累，深度洞察未知网络安全威胁，解读前沿安全技术。