PT-2020-5468 · Fasterxml+3 · Jackson-Databind+3

Publicado

2020-01-31

·

Atualizado

2025-07-10

·

CVE-2020-10968

CVSS v2.0

9.3

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
FasterXML jackson-databind versões 2.x anteriores à 2.9.10.4
Descrição
O problema está relacionado à interação entre os dispositivos de serialização e a tipagem na biblioteca FasterXML jackson-databind, especificamente com o componente org.aoju.bus.proxy.provider.remoting.RmiProvider, também conhecido como bus-proxy. Esse componente é vulnerável à desserialização de dados não confiáveis, o que pode levar ao acesso não autorizado e à manipulação de informações confidenciais. A vulnerabilidade pode ser explorada remotamente, afetando potencialmente a confidencialidade, integridade e disponibilidade de informações protegidas.
Recomendações
Para as versões 2.x do FasterXML jackson-databind anteriores à 2.9.10.4, atualize para a versão 2.9.10.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do componente org.aoju.bus.proxy.provider.remoting.RmiProvider até que um patch seja aplicado. Além disso, evite usar o componente org.aoju.bus.proxy.provider.remoting.RmiProvider em ambientes confidenciais até que o problema seja totalmente resolvido.

Exploit

Correção

DoS

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

ALT-PU-2021-1792
BDU:2021-00725
CVE-2020-10968
DLA-2179-1
GHSA-RF6R-2C4Q-2VWG
MGASA-2021-0153
RHSA-2020:1523
RHSA-2020:4366
ROSA-SA-2025-2629
USN-4813-1

Produtos afetados

Alt Linux
Red Os
Ubuntu
Jackson-Databind