Jackson Jar包常见漏洞

Jackson Jar包漏洞及防护指南
原创 已于 2025-08-12 08:53:18 修改 · 385 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

于 2025-08-12 08:39:10 首次发布

Jackson Jar包常见漏洞

Jackson是一个流行的Java库,用于处理JSON数据格式。以下是一些已知的Jackson jar包漏洞及其解决方案:

CVE-2020-25649

描述: Jackson-databind在2.11.3及之前版本存在反序列化漏洞,攻击者可通过精心构造的恶意输入导致远程代码执行。

影响版本: 2.11.3及以下

解决方案: 升级到Jackson-databind 2.11.4或更高版本。

CVE-2020-35490/CVE-2020-35728

描述: 由于不安全的反序列化导致的远程代码执行漏洞。

影响版本: 2.12.0-2.12.2

解决方案: 升级到Jackson-databind 2.12.3或更高版本。

CVE-2019-14540

描述: 存在反序列化漏洞,可能导致拒绝服务攻击。

影响版本: 2.9.9及以下

解决方案: 升级到Jackson-databind 2.9.10或更高版本。

漏洞防护措施

升级Jackson版本: 定期检查并升级到最新稳定版本。

配置反序列化限制: 通过以下方式配置反序列化防护:

ObjectMapper mapper = new ObjectMapper();
mapper.enable(JsonParser.Feature.STRICT_DUPLICATE_DETECTION);
mapper.disable(JsonParser.Feature.ALLOW_UNQUOTED_FIELD_NAMES);

使用白名单机制: 限制可反序列化的类,避免不受信任的数据源。

检查当前版本

可以通过查看pom.xml或运行以下代码检查版本:

System.out.println("Jackson版本: " + ObjectMapper.class.getPackage().getImplementationVersion());

建议定期关注Jackson官方安全公告,及时更新依赖版本以确保系统安全。

oracle四月份高危漏洞自动化修复办法
focus on security
05-17 2831
cve公告 Oracle官方发布了2021年4月的补丁修复如下漏洞CVE-2021-2157 CVE-2021-2294 CVE-2021-2204 CVE-2021-2214 CVE-2021-2135 CVE-2021-2136 CVE-2021-2211 CVE-2021-2277 CVE-2020-25649 CVE-2021-2142 其中涉及WebLogic组件的高危漏洞有2个,分别为CVE-2021-2135、CVE-2021-2136。危害较大要尽快更新发布.
Foxit Reader(福昕阅读器)(CVE-2020-14425)命令注入漏洞复现
m0_48520508的博客
04-12 1106
0x00简介 Foxit Reader,是一套用来阅读PDF格式文件的软件,由福建福昕软件所研发;2009年9月3日推出3.1.1 Build 0901最新版本。Foxit Reader是一套自由使用的软件,操作系统主要以Microsoft Windows为主,且只要有Win32执行环境的操作系统上皆可使用。一个小巧的pdf文档阅读器,完全免费。有了它,你无须为仅仅阅读pdf文档而下载和安装庞大的adobe reader,而且启动快速,对中文支持非常好。 0x01漏洞概述 Foxit Reader是中国福
漏洞处理记录
cainiao1412的博客
12-23 1199
CVE-2020-25649 解决方式:`DOMDeserializer`: setExpandEntityReferences(false) may not prevent external entity expansion in all cases [CVE-2020-25649] · Issue #2589 · FasterXML/jackson-databind · GitHub,升级如下jar
Jackson 库的历史 RCE 漏洞,通常指的是 Jackson Databind 中的 反序列化漏洞,它在过去被广泛用于构造远程代码执行(RCE)攻击。这类漏洞利用了不安全的反序列化过程
m0_58223765的博客
11-27 1186
历史上,Jackson 确实存在严重的反序列化漏洞,攻击者可以通过泄露框架组件信息、版本号等,精确地利用这些漏洞进行组合攻击。为了防止此类漏洞的发生,建议开发者及时更新到修复过的 Jackson 版本,配置安全的反序列化设置,避免泄露框架组件信息,并加强整体的应用程序安全性。
2021年中国软件供应链安全分析报告
glb111的博客
04-11 447
本文是学习而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们。
CVE-2020-24616: Jackson 多个反序列化安全漏洞通告
爱国小白帽
08-27 4230
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-082701 报告来源:360CERT 报告作者:360CERT 更新日期:2020-08-27 0x01 漏洞简述 2020年08月27日,360CERT监测发现jackson-databind 发布了 jackson-databind 序列化漏洞 的风险通告,该漏洞编号为 CVE-2020-24616 ,漏洞等级:高危,漏洞评分:7.5。 br.com.anteros:Anteros-DB
jackson jar
06-24
标题中的"jackson jar"指的是Jackson库的两个核心组件:`jackson-core-asl-1.9.11.jar`和`jackson-mapper-asl-1.9.11.jar`。这两个JAR文件是Jackson 1.9.11版本的,尽管现在推荐使用更新的2.x系列,但它们在许多旧...
JavaJackson核心jar2.9.0版本下载
资源摘要信息:"jackson-core-2.9.0jar.zip" 知识点: 1. Jackson库概述 Jackson是一个广泛使用的Java库,主要用于处理JSON数据格式的序列化和反序列化。它也被用来处理XML和CSV数据。该库是由FasterXML公司支持...
Jackson 2.5.3 JSON解析所需核心Jar合集
根据描述内容,“jackson解析json一共需要三个jar”,这明确指出了 Jackson 框架的核心模块构成:`jackson-core-2.5.3.jar`、`jackson-databind-2.5.3.jar` 和 `jackson-annotations-2.5.3.jar`。这三个 JAR ...
关于jackson-databind-*.*.**.*.jar升级的依赖jar列表
资源摘要信息:"jackson-databind-*.*.**.*.jar升级相关jar" 在Java开发领域,处理JSON数据是一种常见需求。Jackson是一个广泛使用的Java库,用于将Java对象与JSON数据相互转换。升级Jackson版本时,通常会涉及到...
掌握Jackson2.6:最新Java JSON处理jar解析
为了能够使Spring MVC正确地处理JSON数据,需要在项目中引入Jackson库的相关jarJackson2.6版本的jar则是支持这一功能的一个典型版本。 根据描述,jackson2.6版本一共需要引入四个核心的jar: 1. jackson-...
CVE-2020-16898: Windows TCP/IP远程执行代码漏洞通告
爱国小白帽
10-14 6880
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-101402 报告来源:360CERT 报告作者:360CERT 更新日期:2020-10-14 0x01 漏洞简述 2020年10月14日,360CERT监测发现 Microsoft 发布了 TCP/IP远程代码执行漏洞 的风险通告,该漏洞编号为CVE-2020-16875,漏洞等级:严重,漏洞评分:9.8。 远程攻击者通过构造特制的ICMPv6 Router Advertisemen
查看openssh版本_OpenSSH命令注入漏洞复现(CVE202015778)
weixin_39707536的博客
12-06 1733
OpenSSH命令注入漏洞复现(CVE-2020-15778)目录漏洞描述漏洞等级漏洞影响版本漏洞复现修复建议▶漏洞描述 OpenSSH是用于使用SSH协议进行远程登录的一个开源实现。通过对交互的流量进行加密防止窃听,连接劫持以及其他攻击。OpenSSH由OpenBSD项目的一些开发人员开发, 并以BSD样式的许可证提供,且已被集成到许多商业产品中。 2020年6月9日,研...
CVE-2020-2555:Oracle Coherence 反序列化RCE复现
爱国小白帽
04-27 3024
CVE-2020-2555:Oracle Coherence 反序列化RCE复现 原创 PingPig [Timeline Sec](javascript:void(0)???? 今天 点击上方蓝色字体关注我们,一起学安全! 本文作者:PingPig(团队正式成员) 本文字数:699 阅读时长:2~3min 声明:请勿用作违法用途,否则后果自负 0x01 简介 Oracle Coherence为Orac...
CVE-2020-27194:Linux内核eBPF模块提权突破的分析与利用
爱国小白帽
11-04 1661
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-110302 报告来源:360-CERT 报告作者:360-CERT 更新日期:2020-11-03 0x01突破背景 2020年11月1日,360CERT检测到国外安全研究人员simon通过fuzz在Linux内核的ebpf模块中发现一个越界标识符的断裂,可导致权限提升,CVE编号:CVE-2020-27194。 该突破是由于eBPF验证程序中进行或操作时未正确计算寄存器范围,而细长引
安全通告|SaltStack多个高危漏洞风险通告(CVE-2020-16846/CVE-2020-25592)
爱国小白帽
11-04 1515
原创 云鼎实验室 [云鼎实验室](javascript:void(0)???? 今天 收录于话题 #漏洞 1 #安全情报 1 近日,腾讯云安全运营中心监测到,SaltStack被曝存在两个高危漏洞漏洞编号:CVE-2020-16846/CVE-2020-25592),未经身份验证的攻击者可能利用以上漏洞,进行权限绕过,执行恶意代码。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 CVE-2020-16846:可通过网络访问S
TensorRT笔记(5):研究timingCache
ouliten的博客
12-02 978
在里出现了大量的timingCache,但是当时没有取研究这是干啥的,本文就来解析一下。样例都基于上面的文章。
MVP改成MVVM模式
最新发布
u014035162的专栏
12-05 530
面将登录示例改造成(基于 Android Jetpack 的 ViewModel + LiveData + DataBinding),核心是抛弃 Presenter 中间层,通过 ViewModel 管理数据和业务逻辑,LiveData 实现数据驱动 UI,DataBinding 简化视图与数据的绑定。
(5)MyBatis中的两种参数传递类型
a52djibg1的博客
12-01 241
动态/临时用Map,固定/正式用@Param或 POJO。能用对象就别用 Map —— 代码是给人看的。单个基本类型(如intString@Param注解标注多个参数而使用Map作为参数Map 是“灵活性”的工具,但牺牲了“可读性”和“安全性”。只在真正需要动态、多变参数时才用它。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值