PT-2020-4067 · Fasterxml+3 · Jackson-Databind+3

Publicado

2020-04-07

·

Atualizado

2025-01-28

·

CVE-2020-11620

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
**Nome do software vulnerável e versões afetadas:
FasterXML jackson-databind versões 2.x anteriores à 2.9.10.4
Descrição:
O problema está relacionado ao mecanismo de desserialização na biblioteca FasterXML jackson-databind, especificamente com o componente commons-jelly. Isso pode permitir que um invasor remoto execute código arbitrário no sistema alvo. O problema decorre do tratamento incorreto da interação entre os gadgets de serialização e a tipagem, relacionada a org.apache.commons.jelly.impl.Embedded.
Recomendações:
Para versões 2.x anteriores à 2.9.10.4, atualize para a versão 2.9.10.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da classe org.apache.commons.jelly.impl.Embedded até que um patch seja aplicado.

Exploit

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

ALT-PU-2021-1792
BDU:2020-04467
CVE-2020-11620
DLA-2179-1
GHSA-H4RC-386G-6M85
MGASA-2021-0153
RHSA-2020:2320
ROSA-SA-2025-2629
USN-4813-1

Produtos afetados

Alt Linux
Ubuntu
Commons-Jelly
Jackson-Databind