关联漏洞
标题:FasterXML jackson-databind 代码问题漏洞 (CVE-2017-17485)Description:FasterXML jackson-databind是FasterXML公司的一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。 FasterXML Jackson-databind 2.8.10及之前版本和2.9.x版本至2.9.3版本中存在代码问题漏洞。远程攻击者可通过向ObjectMapper的readValue方法发送恶意制作的JSON输入并绕过黑名单利用
Description
CVE-2017-17485:Jackson-databind RCE
介绍
# CVE-2017-17485
CVE-2017-17485:Jackson-databind RCE
文件快照
[4.0K] /data/pocs/8146e66f245daf1514c5667d5bcb74180bb0b83e
├── [ 81] JacksonTest.iml
├── [3.9K] pom.xml
├── [ 53] README.md
├── [ 445] sepl.xml
├── [4.0K] src
│ ├── [4.0K] main
│ │ └── [4.0K] java
│ │ └── [4.0K] com
│ │ └── [4.0K] jacksonTest
│ │ ├── [ 191] App.java
│ │ └── [ 617] Poc.java
│ └── [4.0K] test
│ └── [4.0K] java
│ └── [4.0K] com
│ └── [4.0K] jacksonTest
│ └── [ 307] AppTest.java
└── [4.0K] target
├── [4.0K] classes
│ └── [4.0K] com
│ └── [4.0K] jacksonTest
│ ├── [ 545] App.class
│ └── [1.2K] Poc.class
└── [4.0K] test-classes
└── [4.0K] com
└── [4.0K] jacksonTest
└── [ 477] AppTest.class
16 directories, 10 files
备注
1. 建议优先通过来源进行访问。
2. 本地 POC 快照面向订阅用户开放;当原始来源失效或无法访问时,本地镜像作为订阅权益的一部分提供。
3. 持续抓取、验证、维护这份 POC 档案需要不少投入,因此本地快照已纳入付费订阅。您的订阅是让这份资料能继续走下去的关键,由衷感谢。 查看订阅方案 →