PT-2020-3305 · Br.Com.Anteros+8 · Anterosdbcpconfig+8

Publicado

2020-03-01

Atualizado

2025-09-29

CVE-2020-9548

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

FasterXML jackson-databind versões 2.7.9.6 e anteriores, 2.8.11.5 e anteriores, 2.9.10.3 e anteriores

Descrição

O problema está relacionado à interação entre os gadgets de serialização e a tipagem na biblioteca FasterXML jackson-databind, especificamente com o componente br.com.anteros.dbcp.AnterosDBCPConfig. Isso pode levar a uma condição de negação de serviço quando explorado por um invasor remoto.

Recomendações

Para as versões 2.7.9.6 e anteriores do FasterXML jackson-databind, atualize para a versão 2.7.9.7 ou posterior.

Para as versões 2.8.11.5 e anteriores do FasterXML jackson-databind, atualize para a versão 2.8.11.6 ou posterior.

Para as versões 2.9.10.3 e anteriores do FasterXML jackson-databind, atualize para a versão 2.9.10.4 ou posterior.

Exploit

Correção

RCE

DoS

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

ALSA-2020:1644

ALSA-2025_16880

ALT-PU-2021-1792

BDU:2020-03616

CESA-2020_1644

CVE-2020-9548

DLA-2135-1

GHSA-P43X-XFJF-5JHR

MGASA-2021-0153

RHSA-2020:1644

RHSA-2020:2511

RHSA-2020:2512

RHSA-2020:2513

RHSA-2020:3637

RHSA-2020:3638

RHSA-2020:3639

RHSA-2020:4366

RHSA-2020_1644

RHSA-2025:1746

RLSA-2020:1644

RLSA-2020_1644

ROSA-SA-2025-2629

USN-4813-1

Produtos afetados

Alt Linux

Almalinux

Anterosdbcpconfig

Centos

Red Hat

Red Os

Rocky Linux

Ubuntu

Jackson-Databind

PT-2020-3305 · Br.Com.Anteros+8 · Anterosdbcpconfig+8

CVE-2020-9548

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 145