JNDI – 绿盟科技技术博客

【威胁通告】jackson-databind JNDI注入导致的远程代码执行漏洞(CVE-2020-8840)

2020-02-21绿盟科技CVE-2020-8840, Jackson databind, JNDI, 注入, 漏洞, 远程代码执行

近日，jackson-databind新版本中修复了一个由JNDI注入导致的远程代码执行漏洞CVE-2020-8840。受影响版本的 jackson-databind 中由于缺少某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，可导致攻击者使用JNDI注入的方式实现远程代码执行。