PT-2020-3306 · Fasterxml+7 · Jackson-Databind+7

Publicado

2020-03-01

·

Atualizado

2025-09-29

·

CVE-2020-9547

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
FasterXML jackson-databind versões 2.7.9.6 e anteriores, 2.8.11.5 e anteriores, 2.9.10.3 e anteriores
Descrição
O problema está relacionado à interação entre os gadgets de serialização e a tipagem na biblioteca FasterXML jackson-databind, especificamente com o componente com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig. Isso pode levar a uma negação de serviço quando explorado por um invasor remoto.
Recomendações
Para as versões 2.7.9.6 e anteriores do FasterXML jackson-databind, atualize para a versão 2.7.9.7 ou posterior.
Para as versões 2.8.11.5 e anteriores do FasterXML jackson-databind, atualize para a versão 2.8.11.6 ou posterior.
Para as versões 2.9.10.3 e anteriores do FasterXML jackson-databind, atualize para a versão 2.9.10.4 ou posterior.

Exploit

Correção

RCE

DoS

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

ALSA-2020:1644
ALSA-2025_16880
ALT-PU-2021-1792
BDU:2020-03617
CESA-2020_1644
CVE-2020-9547
DLA-2135-1
GHSA-Q93H-JC49-78GG
MGASA-2021-0153
RHSA-2020:1644
RHSA-2020:2511
RHSA-2020:2512
RHSA-2020:2513
RHSA-2020:3637
RHSA-2020:3638
RHSA-2020:3639
RHSA-2020:4366
RHSA-2020_1644
RHSA-2025:1746
RLSA-2020:1644
RLSA-2020_1644
ROSA-SA-2025-2629
USN-4813-1

Produtos afetados

Alt Linux
Almalinux
Centos
Red Hat
Red Os
Rocky Linux
Ubuntu
Jackson-Databind