请升级至最新的Jackson-databind #2456

tsj11 · 2019-05-29T02:54:27Z

CVE-2019-12086：jackson-databind任意文件读取漏洞
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.9之前的2.x版本中存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
影响版本：2.x < 2.9.9
修复版本：2.9.9
CVSS v3：7.5

来源：
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201905-776
FasterXML/jackson-databind#2326
漏洞复现及PoC：
https://github.com/c0d3p1ut0s/CVE-2019-12086-jackson-databind-file-read/
漏洞演示：
https://twitter.com/pyn3rd/status/1133018970695643136?s=12

tsj11 closed this as completed May 29, 2019

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

请升级至最新的Jackson-databind #2456

请升级至最新的Jackson-databind #2456

tsj11 commented May 29, 2019

请升级至最新的Jackson-databind #2456

请升级至最新的Jackson-databind #2456

Comments

tsj11 commented May 29, 2019