PT-2020-4192 · Fasterxml+3 · Jackson-Databind+3

Publicado

2020-06-14

·

Atualizado

2025-07-10

·

CVE-2020-14062

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
**Nome do software vulnerável e versões afetadas:
FasterXML jackson-databind versões 2.x anteriores à 2.9.10.5
Descrição:
O problema está relacionado ao mecanismo de desserialização na biblioteca Jackson-databind, especificamente com o componente com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool. Isso pode permitir que um invasor remoto execute código arbitrário. O problema decorre da interação entre os gadgets de serialização e a tipagem.
Recomendações:
Para as versões 2.x do FasterXML jackson-databind anteriores à 2.9.10.5, atualize para a versão 2.9.10.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso do componente com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool até que um patch seja aplicado.

Exploit

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

ALT-PU-2021-1792
BDU:2020-04626
CVE-2020-14062
DLA-2270-1
GHSA-C265-37VJ-CWCC
MGASA-2021-0153
RHSA-2020:4366
ROSA-SA-2025-2629
USN-4813-1

Produtos afetados

Alt Linux
Red Os
Ubuntu
Jackson-Databind