漏洞关键信息 CVE编号: CVE-2017-7525 组件: jackson-databind 版本: 3.11.4及其他版本(具体为:2.6.7.1之前,2.7.9.1之前,和2.8.9之前) 漏洞类型: 远程代码执行 (RCE) CVSS评分: 7.5 (CVSS 2.0), 8.5 (Sonatype CVSS 3) CVE弱点编号: CWE-502 来源: 国家漏洞数据库 类别: 数据 详细描述 漏洞描述: 在jackson-databind中发现了一个反序列化漏洞,允许未经身份验证的用户通过向ObjectMapper的readValue方法发送恶意构造的输入来执行代码。 漏洞原因: BeanDeserializerFactory类的createBeanDeserializer[]函数允许反序列化不受信任的Java对象,这可能由远程攻击者利用,通过上传恶意序列化的对象导致RCE。 检测及应对 检测方法: 应用程序在默认类型启用时使用此组件,则该应用程序易受攻击。如果此组件作为Spring Security的一部分使用,且Spring Security版本为4.2.3.RELEASE或更高(对于4.x),或5.0.0.M2或更高(对于5.x),则不受影响。 推荐修复: 升级至版本2.10.0或更高,或禁用默认类型设置。 其他信息 根因文件: apache-cassandra-3.11.4-bin.tar.gz 发生路径: ["apache-cassandra.zip"; "apache-cassandra.zip"] 漏洞URL: CVE-2017-7525 修复建议: 该组件没有非漏洞版本,需要联系供应商以修复漏洞。