上传者: 45014160
|
上传时间: 2021-12-31 15:53:58
|
文件大小: 8.37MB
|
文件类型: -
jackson-databind<2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35490/CVE-2020-35491),利用漏洞可导致远程执行服务器命令。该漏洞是由JNDI注入导致远程代码执行,Jackson-databind2.0.0-2.9.10.7版本中缺少org.apache.commons.dbcp2.datasources.PerUserPoolDataSource/org.apache.commons.dbcp2.datasources.SharedPoolDataSource黑名单类,攻击者可以利用上述缺陷,绕过限制,实现JNDI注入,最终在受害主机上执行