PT-2020-4416 · Fasterxml+3 · Jackson-Databind+3

Publicado

2020-06-16

·

Atualizado

2025-09-29

·

CVE-2020-14195

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
**Nome do software vulnerável e versões afetadas:
FasterXML jackson-databind versões 2.x anteriores à 2.9.10.5
Descrição:
O problema está relacionado à interação entre os gadgets de serialização e a tipagem na biblioteca jackson-databind, especificamente com o componente org.jsecurity.realm.jndi.JndiRealmFactory. Também é descrita como uma vulnerabilidade no mecanismo de desserialização da biblioteca Jackson-databind. A exploração desse problema pode permitir que um invasor remoto execute código arbitrário no sistema alvo.
Recomendações:
Para as versões 2.x do FasterXML jackson-databind anteriores à 2.9.10.5, atualize para a versão 2.9.10.5 ou posterior para resolver o problema.

Exploit

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2021-1792
BDU:2020-04944
CVE-2020-14195
DLA-2270-1
GHSA-MC6H-4QGP-37QH
MGASA-2021-0153
RHSA-2020:4366
ROSA-SA-2025-2629
USN-4813-1

Produtos afetados

Alt Linux
Red Os
Ubuntu
Jackson-Databind