【威胁通告】Fastjson <=1.2.62远程代码执行漏洞

在jackson-databind 中最新发现的反序列化 gadget 也同样影响了fastjson,经绿盟科技研究人员验证复现,该漏洞影响最新的fastjson 1.2.62 版本,利用该漏洞可导致受害机器上的远程代码执行。开启了autoType功能的用户会受此漏洞影响(autoType功能默认关闭)。

阅读全文 “【威胁通告】Fastjson <=1.2.62远程代码执行漏洞” »

【威胁通告】jackson-databind JNDI注入导致的远程代码执行漏洞(CVE-2020-8840)

近日,jackson-databind新版本中修复了一个由JNDI注入导致的远程代码执行漏洞CVE-2020-8840。受影响版本的 jackson-databind 中由于缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,可导致攻击者使用JNDI注入的方式实现远程代码执行。

阅读全文 “【威胁通告】jackson-databind JNDI注入导致的远程代码执行漏洞(CVE-2020-8840)” »