PT-2020-5474 · Fasterxml+4 · Jackson-Databind+4
Publicado
2020-01-31
·
Atualizado
2025-08-19
·
CVE-2020-10650
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do jackson-databind até a 2.9.10.4
Descrição
Foi descoberta uma falha de desserialização na biblioteca jackson-databind. Isso poderia permitir que um usuário não autenticado executasse código por meio do ignite-jta ou do quartz-core, especificamente através das classes org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup, org.apache.ignite.cache.jta.jndi.CacheJndiTmFactory e org.quartz.utils.JNDIConnectionProvider. Este problema está relacionado à restauração de dados não confiáveis na memória, o que pode afetar a confidencialidade, a integridade e a disponibilidade das informações protegidas.
Recomendações
Para versões do jackson-databind até a 2.9.10.4, atualize para uma versão posterior à 2.9.10.4 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos componentes
ignite-jta e quartz-core para minimizar o risco de exploração. Além disso, evite usar as classes vulneráveis org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup, org.apache.ignite.cache.jta.jndi.CacheJndiTmFactory e org.quartz.utils.JNDIConnectionProvider até que o problema seja resolvido.Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Ignite-Jta
Jackson-Databind
Quartzcore