PT-2021-3164 · Fasterxml+3 · Jackson-Databind+3

Publicado

2021-01-01

·

Atualizado

2025-09-29

·

CVE-2020-36188

CVSS v2.0

9.3

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
FasterXML jackson-databind versões 2.x anteriores à 2.9.10.8
FasterXML jackson-databind versões 2.6.x anteriores à 2.6.7.5
Descrição
O problema está relacionado à interação entre os gadgets de serialização e a tipagem, especificamente com o componente com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource. Isso pode permitir que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade de informações protegidas.
Recomendações
Para as versões 2.x do FasterXML jackson-databind anteriores à 2.9.10.8, atualize para a versão 2.9.10.8 ou posterior.
Para as versões 2.6.x do FasterXML jackson-databind anteriores à 2.6.7.5, atualize para a versão 2.6.7.5 ou posterior.
Como solução alternativa temporária, considere desativar o uso de com.newrelic.agent.deps.ch.qos.logback.core.db.JNDIConnectionSource até que um patch esteja disponível.

Exploit

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2021-1792
BDU:2021-02834
CVE-2020-36188
DLA-2638-1
GHSA-F9XH-2QGP-CQ57
OESA-2021-1051
ROSA-SA-2025-2629

Produtos afetados

Alt Linux
Astra Linux
Jackson-Databind
Logback