PT-2021-7983 · Unknown+3 · Jackson-Databind+3

Msiddiqu

·

Publicado

2021-01-19

·

Atualizado

2025-09-12

·

CVE-2021-20190

CVSS v2.0

8.3

Alta

VetorAV:N/AC:M/Au:N/C:P/I:P/A:C
Nome do software vulnerável e versões afetadas
Versões do jackson-databind anteriores à 2.9.10.7
Versões do jackson-databind anteriores à 2.6.7.5
Descrição
O problema está relacionado ao tratamento de gadgets de serialização e tipagem pela biblioteca jackson-databind, o que pode levar à restauração de dados não confiáveis na memória. Isso pode permitir que um invasor remoto execute código arbitrário, representando uma ameaça à confidencialidade, integridade e disponibilidade dos dados.
Recomendações
Para versões anteriores à 2.9.10.7, atualize para a versão 2.9.10.7 ou posterior para resolver o problema.
Para versões anteriores à 2.6.7.5, atualize para a versão 2.6.7.5 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir a interação entre os gadgets de serialização e a tipagem para minimizar o risco de exploração.

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

ALT-PU-2021-1792
BDU:2024-00181
BIT-NIFI-2021-20190
CVE-2021-20190
DLA-2638-1
GHSA-5949-RW7G-WX7W
MGASA-2021-0153
OESA-2021-1051
OPENSUSE-SU-2024:10868-1
ROSA-SA-2025-2629
SUSE-SU-2021:0243-1

Produtos afetados

Alt Linux
Astra Linux
Suse
Jackson-Databind