CVE-2020-10673 PoC — FasterXML jackson-databind 安全漏洞

Source

https://github.com/harry1080/CVE-2020-10673

Associated Vulnerability

Title:FasterXML jackson-databind 安全漏洞 (CVE-2020-10673)
Description:FasterXML jackson-databind是FasterXML公司的一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档，同样也可以将json、xml转换成Java对象。 FasterXML jackson-databind 2.9.10.4之前的2.x版本中存在安全漏洞，该漏洞源于com.caucho.config.types.ResourceRef（caucho-quercus）进行了不安全的反序列化

Description

CVE-2020-10673

Readme

### 漏洞描述

近日,亚信安全网络攻防实验室跟踪到 `jackson-databind` 更新了1个jndi注入的黑名单类.如果在项目包中存在该类的jar包且JDK版本满足注入版本,则可以使用JNDI注入的方式导致远程代码执行.该类为 `com.caucho.config.types.ResourceRef`.

漏洞编号：

- CVE-2020-10673
- Jackson内部编号2660

## 影响范围

- jackson-databind <= 2.10.3

- fastjson <= 1.2.66

##  修复建议

目前官方已发表修复补丁，可进入

<https://github.com/alibaba/fastjson/releases>

页面下载最新版本。

## 参考

- [【安全通报】Fastjson发布高危漏洞补丁](https://nosec.org/home/detail/4368.html)
- [【漏洞通告】CVE-2020-10673/jackson-databind JNDI注入导致远程代码执行](https://mp.weixin.qq.com/s/nKTd9I_EUzEqHOrpCqGVbQ)

File Snapshot


 [4.0K]  /data/pocs/5b0cec6f4541901798d1185406de02f64985c164
├── [1.4K]  pom.xml
├── [ 827]  README.md
├── [4.0K]  src
│   └── [4.0K]  main
│       └── [4.0K]  java
│           ├── [ 710]  FastjsonMain.java
│           ├── [ 677]  JacksonMain.java
│           ├── [ 509]  Poc.class
│           └── [ 385]  Poc.java
└── [4.0K]  target

4 directories, 6 files

Shenlong Bot has cached this for you

Remarks

1. It is advised to access via the original source first.

2. If the original source is unavailable, please email f.jinxu#gmail.com for a local snapshot (replace # with @).

3. Shenlong has snapshotted the POC code for you. To support long-term maintenance, please consider donating. Thank you for your support.

Goal Reached Thanks to every supporter — we hit 100%!