Jackson-databind引发的漏洞问题分析

最新推荐文章于 2025-04-18 08:41:29 发布
最新推荐文章于 2025-04-18 08:41:29 发布
阅读量8.2k 收藏 12
点赞数 4
分类专栏: 后端 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kshzhaohui/article/details/115214144
版权
本文详细分析了Jackson-databind的序列化漏洞,包括CVE-2017-7525和CVE-2020-24616,探讨了多态问题在序列化中的影响,提出不要使用DefaultTyping和反序列化时指定具体类的建议,以提升安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

最近公司内部提供了一份应用高危漏洞的清单,其中提到了fastjson和jackson,因为之前对fastjson因为多态问题引发的反序列化问题有过了解,所以打算也做一个简单的分析。

漏洞简述

2020年08月27日,360CERT监测发现 jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。

br.com.anteros:Anteros-DBCP 中存在新的反序列化利用链,可以绕过 jackson-databind 黑名单限制,远程攻击者通过向使用该组件的web服务接口发送特制请求包,可以造成 远程代码执行 影响。

受影响的版本:fasterxml:jackson-databind: <2.9.10.6,该版本还修复了下述利用链:

  • org.arrahtec:profiler-core
  • com.nqadmin.rowset:jdbcrowsetimpl
  • com.pastdev.httpcomponents:configuration

上述 package 中存在新的反序列化利用链,可以绕过 jackson-databind 黑名单限制,远程攻击者通过向使用该组件的web服务接口发送特制请求包,可以造成 远程代码执行 影响。

漏洞分析

其实此漏洞和前几年jackson爆出来的另外一个漏洞(CVE-2017-7525)是一脉相承的,都是利用反序列化远程执行代码;至于为什么会出现这个问题,其实归根结底和多态有关,下面做一个简单的分析;

序列化中的多态问题

我们平时见得最多的json格式可能像下面这样:

{
   "fruit":{
   "name":"apple"},"mode":"online"}

里面是没有任何类信息的,拿到json字符串直接通过相关方法转化为对象:

public <T> T readValue(String content, Class<T> valueType)

像以上这种情况基本上是不会有什么问题的,但是很多业务中有多态的需求,比如像下面这样:

//水果接口类
public interface Fruit {
   
}

//通过指定的方式购买水果
public class Buy {
   
    private String mode;
    private Fruit fruit;
}

//具体的水果类--苹果
public class Apple implements Fruit {
   
    private String name;
}

//具体的水果类--香蕉
public class Banana implements Fruit {
   
    private String name;
}

可以发现这里的Buy对象里面存放的是Fruit,并不是具体的某种水果,如果这时候你去序列化:

Banana banana = new Banana();
banana.setName("banana");

Buy buy = new Buy("online", banana);

ObjectMapper mapper = new ObjectMapper();

// 序列化
String jsonString = mapper.writeValueAsString(buy);
System.out.println("toJSONString : " + jsonString);

// 反序列化
Buy newBuy = mapper.
最低0.47元/天 解锁文章
安全漏洞jackson-databind漏洞、 异常NoClassDefFoundError: Could not initialize class com.fasterxml.jackson
开着奥迪卖小猪
07-25 1万+
一、jackson-databind漏洞 国家信息安全漏洞库:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-867 二、发现项目中有使用2.6.3版本的jackson,所以进行升级 jackson-databind 升级到2.9.9.1、 jackson...
CVE-2020-36189 jackson-databind java反序列化漏洞
mirocky的博客
10-13 3567
该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞,导致可执行任意命令。com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类中实现了url的输入和调用,通过可控的url进行payload的打入,即可依靠ObjectMapper的反序列化漏洞实现SSRF和RCE。,}]的形式,将对象的参数的类名打印,是json中的类名。
Jackson详解
最新发布
yk_dflkg的博客
04-18 522
JacksonJava生态系统中最受欢迎的JSON处理库之一,由FasterXML维护。它提供了一套全面的工具来处理JSON数据,支持Java对象与JSON数据之间的转换,同时也提供了处理其他数据格式的能力。高性能:经过优化的代码使其成为最快的JSON处理器之一灵活性:提供多种处理JSON的方式和广泛的定制选项稳定性:经过广泛测试和使用,非常稳定可靠可扩展性:提供扩展API,支持自定义序列化和反序列化无依赖性:核心模块不依赖于其他库全面的注解支持:大量注解用于控制JSON处理行为数据绑定。
Jackson-databind 反序列化漏洞(CVE-2017-7525、CVE-2017-17485)
zzzzz1284的博客
03-13 1498
CVE-2017-7525、CVE-2017-17485
自检代码中trustmanager漏洞_Fasterxml Jacksondatabind漏洞分析与利用
weixin_39640767的博客
11-22 1192
一、 Fasterxml Jackson-databind组件介绍FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。二、各版本介绍Fasterxml的jackson...
jackson-databind-vuln:Jackson Databind漏洞
05-26
杰克逊·德宾宾·沃恩 Jackson Databind漏洞
Jackson-databind 反序列化漏洞(CVE-2020-36179 ~ CVE-2020-36189)
weixin_45626288的博客
12-01 4383
2021年1月7日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在多个反序列化远程代码执行漏洞(CVE-2020-36179 ~ CVE-2020-36189),利用该漏洞,攻击者可远程执行代码,控制服务器。 2020年12月17日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35490/CVE-2020-35491).
Jacksonjackson-databind
热门推荐
明月阁
12-09 6万+
原文链接:http://www.dubby.cn/detail.html?id=9070 前几篇介绍Jackson的文章(Jackson介绍,Jacksonjackson-core),虽然很好,但是我相信你并愿意在项目中使用,因为使用起来很复杂,也许这也是很多人愿意使用Fastjson的原因吧。为什么会感觉这么复杂呢,因为jackson-core提供的是很低级的API,我们可以充分的了解细节,
jackson升级jar包2.12.4版本
07-31
标题提到的"Jackson-databind任意文件读取漏洞"就是一个典型的例子,这个问题允许攻击者通过恶意构造的JSON数据读取服务器上的任意文件,对系统安全构成严重威胁。 Jackson-databindJackson库的一个子模块,主要...
深入分析CVE-2020-35728漏洞Jackson-databind的RCE风险
资源摘要信息:"CVE-2020-35728是一个严重的安全漏洞,影响了FasterXML的jackson-databind库版本2.x,且该漏洞存在于2.9.10.8版本之前。该漏洞源于对序列化工具和类型间交互处理不当,尤其是与...
xalanjava源码-jackspoilt:导致RCE的上下文反序列化漏洞-远程代码执行
06-05
com.fasterxml.jackson.core:jackson-databind:2.8.8 夏兰:夏兰:2.7.2 不安全的反序列化(多态类型) 不可信输入接受 目录结构 src/... : 描述反序列化利用的源代码(使用) 漏洞利用:为DeSerializaiton漏洞制作...
jackson-CVE-2020-8840:FasterXMLjackson-databind远程代码执行漏洞
03-08
CVE-2020-8840 FasterXML / jackson-databind远程代码执行漏洞
jackson-databind-2.7.0.jar
12-15
jackson-databind-2.7.0.jar
jackson-databind, Jackson通用数据绑定包( 2.x ).zip
10-10
jackson-databind, Jackson通用数据绑定包( 2.x ) 概述这个项目包含 Jackson数据处理器的通用数据绑定功能和树模型。 它构建在核心流解析器/生成器包之上,并使用 Jackson注解( ) 。 项目许可证在 Apache许可 2.0.当Jackson的原始用例是JSON数据绑定时,现
FasterXML Jackson-databind远程代码执行漏洞 CVE-2020-8840 已亲自复现 未完成
qq_42430287的博客
12-27 2259
受影响版本的jackson-databind中缺少某些xbean-reflect/JNDI黑名单类,如org.apache.xbean.propertyeditor.JndiConverter,导致攻击者可通过JNDI注入的方式对此漏洞进行利用,成功时可以实现远程代码执行。2.0.0
logstash的jackson-databind漏洞修复
洁哥哥的博客
06-06 1726
【代码】jackson-databind漏洞修复。
Jackson-databind 反序列化漏洞(CVE-2017-7525)
玄道的网安博客
06-17 3838
漏洞原理 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。 所以,本漏洞利用条件如下: 开启 Jackso
jackson-databind漏洞
qq_45014160的博客
09-25 1110
jackson-databind 国家信息安全漏洞库:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202008-1195 一:概要 官方发布最新版本,当中修复了一处反序列化远程代码执行漏洞(CVE-2020-24616),漏洞存在于br.com.anteros:Anteros-DBCP库类中,攻击者可以通过精心构造的请求包在受影响的 Jackson 服务器上进行远程代码执行。 二:漏洞影响范围 影响版本: jackson-databind
Jackson-databind安全漏洞
weixin_30426065的博客
07-25 2443
今天公司发出了修复jackson-databind安全漏洞分析,让公司统一修复,以下是过程: 一、基本描述 在2.9.9之前的FasterXML jackson-databind 2.x中发现了一个问题。为外部公开的JSON端点启用默认键入(全局或特定属性)时,该服务在类路径中具有mysql-connector-java jar(8.0.14或更早版本),并且攻击者可以托管精心...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值