## 漏洞关键信息 - **CVE编号**: CVE-2017-7525 - **组件**: jackson-databind - **版本**: 3.11.4及其他版本(具体为:2.6.7.1之前,2.7.9.1之前,和2.8.9之前) - **漏洞类型**: 远程代码执行 (RCE) - **CVSS评分**: 7.5 (CVSS 2.0), 8.5 (Sonatype CVSS 3) - **CVE弱点编号**: CWE-502 - **来源**: 国家漏洞数据库 - **类别**: 数据 ### 详细描述 - **漏洞描述**: 在jackson-databind中发现了一个反序列化漏洞,允许未经身份验证的用户通过向ObjectMapper的readValue方法发送恶意构造的输入来执行代码。 - **漏洞原因**: BeanDeserializerFactory类的createBeanDeserializer[]函数允许反序列化不受信任的Java对象,这可能由远程攻击者利用,通过上传恶意序列化的对象导致RCE。 ### 检测及应对 - **检测方法**: 应用程序在默认类型启用时使用此组件,则该应用程序易受攻击。如果此组件作为Spring Security的一部分使用,且Spring Security版本为4.2.3.RELEASE或更高(对于4.x),或5.0.0.M2或更高(对于5.x),则不受影响。 - **推荐修复**: 升级至版本2.10.0或更高,或禁用默认类型设置。 ### 其他信息 - **根因文件**: apache-cassandra-3.11.4-bin.tar.gz - **发生路径**: ["apache-cassandra.zip"; "apache-cassandra.zip"] - **漏洞URL**: [CVE-2017-7525](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7525) - **修复建议**: 该组件没有非漏洞版本,需要联系供应商以修复漏洞。