3月1日，Fasterxml jackson-databind官方披露了两个RCE漏洞。Fasterxml jackson-databind是一个简单基于Java应用库，主要用于对象转换，可将Java对象转换成json对象和xml文档，同样也可将json对象转换成Java对象。该应用库在一个星期前就曾曝出远程代码执行漏洞。

经国内安全研究人员分析，该漏洞也影响了FastJson解析库。FastJson是阿里巴巴的的开源JSON解析库，用于对JSON格式的数据进行解析，可对Java Bean和JSON字符串进行双向转换，应用范围较广。

危害等级

严重

漏洞原理

CVE-2020-9547

Fasterxml jackson-databind 2.9.10.4之前的版本错误处理了和`com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig`有关的序列化gadgets和输入间的交互（又被称为ibatis-sqlmap）。

CVE-2020-9547

Fasterxml jackson-databind 2.9.10.4之前的版本错误处理了和`br.com.anteros.dbcp.AnterosDBCPConfig`有关的序列化gadgets和输入间的交互（又被称为anteros-core）。

漏洞影响

官方表示2.9.10.4以及>=2.10.0的版本不受影响

漏洞编号

CVE-2020-9547

CVE-2020-9548

修复建议

目前在官方发布网站有不受影响版本的软件，建议管理员及时进行软件防护升级（https://github.com/Fasterxml/jackson-databind/releases）。

参考

[1] https://mp.weixin.qq.com/s/gHnSfsMuLLlk7lQ4f5Nkdw

[2] https://github.com/Fasterxml/jackson-databind/issues/2634

[3] https://nvd.nist.gov/vuln/detail/CVE-2020-9547

[4] https://nvd.nist.gov/vuln/detail/CVE-2020-9548

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。