PT-2020-4068 · Fasterxml+4 · Jackson-Databind+4

Publicado

2020-04-07

·

Atualizado

2025-07-10

·

CVE-2020-11619

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
**Nome do software vulnerável e versões afetadas:
FasterXML jackson-databind versões 2.x anteriores à 2.9.10.4
Descrição:
O problema está relacionado à interação entre os gadgets de serialização e a tipagem no FasterXML jackson-databind, especificamente com o componente org.springframework.aop.config.MethodLocatingFactoryBean. Isso pode ser explorado por um invasor remoto para executar código arbitrário no sistema alvo. A vulnerabilidade está associada a deficiências no mecanismo de desserialização.
Recomendações:
Para as versões 2.x do FasterXML jackson-databind anteriores à 2.9.10.4, atualize para a versão 2.9.10.4 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso do componente org.springframework.aop.config.MethodLocatingFactoryBean até que um patch seja aplicado. Restrinja o acesso a dados confidenciais e minimize o uso da desserialização para reduzir o risco de exploração.

Exploit

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

ALT-PU-2021-1792
BDU:2020-04468
CVE-2020-11619
DLA-2179-1
GHSA-27XJ-RQX5-2255
MGASA-2021-0153
RHSA-2020:2320
RHSA-2020:4366
ROSA-SA-2025-2629
USN-4813-1

Produtos afetados

Alt Linux
Methodlocatingfactorybean
Red Os
Ubuntu
Jackson-Databind