漏洞信息(CVE-2020-9547)

一、漏洞 CVE-2020-9547 基础信息

漏洞信息

                                        # N/A

## 漏洞概述
FasterXML jackson-databind 2.x版本在2.9.10.4之前的版本中，由于处理序列化工具与类型之间的交互时存在问题，导致了安全漏洞。该问题与`com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig`（即ibatis-sqlmap）相关。

## 影响版本
- FasterXML jackson-databind 2.x 版本在2.9.10.4之前的版本

## 细节
漏洞发生在序列化工具与类型处理之间，特别是在处理`com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig`类时，版本在2.9.10.4之前的jackson-databind未能正确管理这两者的交互，可能导致意外的序列化行为。

## 影响
由于序列化工具与类型处理之间交互不当，可能导致恶意用户操纵输入，触发意外的序列化行为，进而可能引发如远程代码执行等安全问题。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (aka ibatis-sqlmap).

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

FasterXML jackson-databind 代码问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

FasterXML jackson-databind是FasterXML公司的一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档，同样也可以将json、xml转换成Java对象。 FasterXML jackson-databind 2.9.10.4之前的2.x版本中存在代码问题漏洞。攻击者可借助特制的请求利用该漏洞在系统上执行任意代码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2020-9547 的公开POC

#	POC 描述	源链接	神龙链接
1	CVE-2020-9547：FasterXML/jackson-databind 远程代码执行漏洞	https://github.com/fairyming/CVE-2020-9547	POC详情
2	FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (aka ibatis-sqlmap). This vulnerability allows attackers to execute arbitrary code through deserialization of untrusted data when polymorphic type handling (@JsonTypeInfo with use=JsonTypeInfo.Id.CLASS) is enabled.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2020/CVE-2020-9547.yaml	POC详情
3	None	https://github.com/Pranjal6955/CVE-2020-9547	POC详情

三、漏洞 CVE-2020-9547 的情报信息

https://lists.apache.org/thread.html/r893a0104e50c1c2559eb9a5812add28ae8c3e5f43712947a9847ec18%40%3Cnotifications.zookeeper.apache.org%3E x_refsource_MISC
https://www.oracle.com/security-alerts/cpuoct2021.html x_refsource_MISC
https://www.oracle.com/security-alerts/cpujan2021.html x_refsource_MISC
https://security.netapp.com/advisory/ntap-20200904-0006/ x_refsource_CONFIRM
https://www.oracle.com/security-alerts/cpuoct2020.html x_refsource_MISC
https://lists.apache.org/thread.html/rc0d5d0f72da1ed6fc5e438b1ddb3fa090c73006b55f873cf845375ab%40%3Cnotifications.zookeeper.apache.org%3E x_refsource_MISC
https://lists.apache.org/thread.html/r4accb2e0de9679174efd3d113a059bab71ff3ec53e882790d21c1cc1%40%3Cnotifications.zookeeper.apache.org%3E x_refsource_MISC
https://lists.apache.org/thread.html/ra3e90712f2d59f8cef03fa796f5adf163d32b81fe7b95385f21790e6%40%3Cnotifications.zookeeper.apache.org%3E x_refsource_MISC
https://lists.apache.org/thread.html/r742ef70d126548dcf7de5be5779355c9d76a9aec71d7a9ef02c6398a%40%3Cnotifications.zookeeper.apache.org%3E x_refsource_MISC
https://lists.apache.org/thread.html/redbe4f1e21bf080f637cf9fbec47729750a2f443a919765360337428%40%3Cnotifications.zookeeper.apache.org%3E x_refsource_MISC
https://github.com/FasterXML/jackson-databind/issues/2634 x_refsource_MISC
https://www.oracle.com/security-alerts/cpujul2020.html x_refsource_MISC
https://medium.com/%40cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062 x_refsource_MISC
https://lists.debian.org/debian-lts-announce/2020/03/msg00008.html mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/rd0e958d6d5c5ee16efed73314cd0e445c8dbb4bdcc80fc9d1d6c11fc%40%3Cdev.zookeeper.apache.org%3E mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/rf1bbc0ea4a9f014cf94df9a12a6477d24a27f52741dbc87f2fd52ff2%40%3Cissues.geode.apache.org%3E mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/r9464a40d25c3ba1a55622db72f113eb494a889656962d098c70c5bb1%40%3Cdev.zookeeper.apache.org%3E mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/rd5a4457be4623038c3989294429bc063eec433a2e55995d81591e2ca%40%3Cissues.zookeeper.apache.org%3E mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/rdd49ab9565bec436a896bc00c4b9fc9dce1598e106c318524fbdfec6%40%3Cissues.zookeeper.apache.org%3E mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/rb6fecb5e96a6d61e175ff49f33f2713798dd05cf03067c169d195596%40%3Cissues.zookeeper.apache.org%3E mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/rdd4df698d5d8e635144d2994922bf0842e933809eae259521f3b5097%40%3Cissues.zookeeper.apache.org%3E mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/r98c9b6e4c9e17792e2cd1ec3e4aa20b61a791939046d3f10888176bb%40%3Cissues.zookeeper.apache.org%3E mailing-list x_refsource_MLIST
https://lists.apache.org/thread.html/r35d30db00440ef63b791c4b7f7acb036e14d4a23afa2a249cb66c0fd%40%3Cissues.zookeeper.apache.org%3E mailing-list x_refsource_MLIST
https://nvd.nist.gov/vuln/detail/CVE-2020-9547

四、漏洞 CVE-2020-9547 的评论

暂无评论

一、 漏洞 CVE-2020-9547 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2020-9547 的公开POC

三、漏洞 CVE-2020-9547 的情报信息

四、漏洞 CVE-2020-9547 的评论

发表评论

一、漏洞 CVE-2020-9547 基础信息