PT-2020-5529 · Fasterxml+4 · Jackson-Databind+4

Publicado

2020-12-27

·

Atualizado

2025-09-29

·

CVE-2020-35728

CVSS v2.0

9.3

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
FasterXML jackson-databind versões 2.x anteriores à 2.9.10.8
Descrição
O problema está relacionado ao tratamento incorreto da interação entre os dispositivos de serialização e a tipagem na biblioteca Jackson-databind, especificamente com com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool, também conhecido como Xalan incorporado em org.glassfish.web/javax.servlet.jsp.jstl. Isso pode permitir que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade de informações protegidas.
Recomendações
Para as versões 2.x do FasterXML jackson-databind anteriores à 2.9.10.8, atualize para a versão 2.9.10.8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos gadgets de serialização e aos recursos de tipagem relacionados a com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool até que um patch seja aplicado.

Exploit

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2021-1792
BDU:2021-01045
CVE-2020-35728
DLA-2638-1
GHSA-5R5R-6HPJ-8GG9
MGASA-2021-0153
OESA-2021-1014
OPENSUSE-SU-2024:10868-1
ROSA-SA-2025-2629
SUSE-SU-2021:0243-1
SUSE-SU-2021_0243-1

Produtos afetados

Alt Linux
Astra Linux
Suse
Xalan
Jackson-Databind