PT-2020-6701 · Fasterxml+4 · Fasterxml Jackson Databind+4

Publicado

2017-11-01

·

Atualizado

2025-06-09

·

CVE-2020-25649

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
FasterXML Jackson Databind (versões afetadas não especificadas)
Descrição
Uma falha no FasterXML Jackson Databind permite a vulnerabilidade a ataques de entidade externa XML (XXE) devido a uma segurança inadequada na expansão de entidades. A maior ameaça decorrente desse problema é a integridade dos dados. Essa falha está relacionada ao componente DOMDeserializer e à sua restrição incorreta de links XML para objetos externos, o que pode ser explorado por um invasor remoto para realizar ataques XXE.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

XXE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-611

Identificadores relacionados

ALT-PU-2017-2557
ALT-PU-2021-1907
BDU:2022-05602
CVE-2020-25649
DLA-2406-1
DLA-2638-1
GHSA-288C-CQ4H-88GQ
MGASA-2021-0153
OPENSUSE-SU-2022_1678-1
OPENSUSE-SU-2024:10868-1
RHSA-2020:4312
RHSA-2020:4401
RHSA-2020:5340
RHSA-2020:5341
RHSA-2020:5342
RHSA-2021:0381
ROSA-SA-2025-2629
SUSE-SU-2021:0243-1
SUSE-SU-2022:1678-1
SUSE-SU-2022_1678-1

Produtos afetados

Alt Linux
Astra Linux
Fasterxml Jackson Databind
Red Os
Suse