3月1日,Fasterxml jackson-databind官方披露了两个RCE漏洞。Fasterxml jackson-databind是一个简单基于Java应用库,主要用于对象转换,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。该应用库在一个星期前就曾曝出远程代码执行漏洞。 经国内安全研究人员分析,该漏洞也影响了FastJson解析库。FastJson是阿里巴巴的的开源JSON解析库,用于对JSON格式的数据进行解析,可对Java Bean和JSON字符串进行双向转换,应用范围较广。 危害等级. 严重 漏洞原理. CVE-2020-9547 Fasterxml jackson-databind 2.



Source link

You must be logged in to post a comment.