CVE-2020-8840

**Nome do software vulnerável e versões afetadas:

FasterXML jackson-databind, versões 2.0.0 a 2.9.10.2

FasterXML jackson-databind 2.x anteriores à versão 2.6.7.4

FasterXML jackson-databind 2.7.x anteriores à versão 2.7.9.7

FasterXML jackson-databind 2.8.x anterior à versão 2.8.11.5

FasterXML jackson-databind 2.9.x anterior à versão 2.9.10.2

Descrição:

O problema está relacionado ao componente xbean-reflect/JNDI da biblioteca Jackson-databind, que carece de certos bloqueios, conforme demonstrado por org.apache.xbean.propertyeditor.JndiConverter. Isso pode permitir que um invasor remoto acesse dados confidenciais, comprometa a integridade dos dados e cause uma negação de serviço ao explorar a vulnerabilidade, que está associada à restauração de estruturas de dados não confiáveis na memória.

Recomendações:

Para as versões 2.0.0 a 2.9.10.2 do FasterXML jackson-databind, atualize para uma versão que inclua o bloqueio xbean-reflect/JNDI necessário.

Para o FasterXML jackson-databind 2.x anterior à versão 2.6.7.4, atualize para a versão 2.6.7.4 ou posterior.

Para o FasterXML jackson-databind 2.7.x anterior à versão 2.7.9.7, atualize para a versão 2.7.9.7 ou posterior.

Para o FasterXML jackson-databind 2.8.x anterior à versão 2.8.11.5, atualize para a versão 2.8.11.5 ou posterior.

Para o FasterXML jackson-databind 2.9.x anterior à versão 2.9.10.2, atualize para a versão 2.9.10.2 ou posterior.

Como solução temporária, considere desativar a classe org.apache.xbean.propertyeditor.JndiConverter até que um patch esteja disponível.