PT-2020-4193 · Apache+3 · Apache Xalan+3

Publicado

2020-06-14

·

Atualizado

2025-01-28

·

CVE-2020-14060

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
**Nome do software vulnerável e versões afetadas:
FasterXML jackson-databind versões 2.x anteriores à 2.9.10.5
Descrição:
O problema está relacionado ao mecanismo de desserialização na biblioteca FasterXML jackson-databind, especificamente com o componente oadd.org.apache.xalan.lib.sql.JNDIConnectionPool. Isso pode permitir que um invasor remoto execute código arbitrário. O problema decorre da interação entre os gadgets de serialização e a tipagem.
Recomendações:
Para as versões 2.x do FasterXML jackson-databind anteriores à 2.9.10.5, atualize para a versão 2.9.10.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do componente oadd.org.apache.xalan.lib.sql.JNDIConnectionPool até que um patch seja aplicado.

Exploit

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

ALT-PU-2021-1792
BDU:2020-04627
CVE-2020-14060
DLA-2270-1
GHSA-J823-4QCH-3RGM
MGASA-2021-0153
ROSA-SA-2025-2629
USN-4813-1

Produtos afetados

Alt Linux
Apache Xalan
Ubuntu
Jackson-Databind