PT-2020-5475 · Fasterxml+6 · Jackson-Databind+6

Publicado

2020-01-31

·

Atualizado

2025-01-28

·

CVE-2020-10672

CVSS v2.0

9.3

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
FasterXML jackson-databind versões 2.x anteriores à 2.9.10.4
Descrição
O problema está relacionado à interação entre os gadgets de serialização e a tipagem, especificamente com o componente org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory. Isso pode levar à desserialização de dados não confiáveis, permitindo potencialmente que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade de informações protegidas.
Recomendações
Para as versões 2.x do FasterXML jackson-databind anteriores à 2.9.10.4, atualize para a versão 2.9.10.4 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o uso do componente org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory até que um patch esteja disponível.

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

ALSA-2020:1644
ALT-PU-2021-1792
BDU:2021-00768
CESA-2020_1644
CVE-2020-10672
DLA-2153-1
GHSA-95CM-88F5-F2C7
MGASA-2021-0153
RHSA-2020:1644
RHSA-2020:3461
RHSA-2020:3462
RHSA-2020:3463
RHSA-2020:3637
RHSA-2020:3638
RHSA-2020:3639
RHSA-2020_1644
RHSA-2025:1746
RLSA-2020:1644
ROSA-SA-2025-2629
USN-4813-1

Produtos afetados

Alt Linux
Almalinux
Centos
Red Hat
Rocky Linux
Ubuntu
Jackson-Databind