Errores FasterXML jackson databind

vulnerabilidad

CVE-2020-36180 CVE-2020-36182 CVE-2020-36183 CVE-2020-36179 CVE-2020-36189 CVE-2020-36188 CVE-2020-36187 CVE-2020-36186 CVE-2020-36185 CVE-2020-36184 CVE-2020-36181

CVE-2020-36180: FasterXML jackson-databind 2.x antes de 2.9.10.8 maneja mal la interacción entre los gadgets de serialización y la escritura, relacionada con org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS.

CVE-2020-36182: FasterXML jackson-databind 2.x antes de 2.9.10.8 maneja mal la interacción entre los dispositivos de serialización y la escritura, relacionada con org.apache.tomcat.dbcp.dbcp2.cpdsadapter.DriverAdapterCPDS.

CVE-2020-36183: FasterXML jackson-databind 2.x antes de 2.9.10.8 maneja mal la interacción entre los dispositivos de serialización y la escritura, relacionada con org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool.

CVE-2020-36179:FasterXML jackson-databind 2.x antes de 2.9.10.8 maneja mal la interacción entre los dispositivos de serialización y la escritura, relacionada con oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS.

CVE-2020-36189 CVE-2020-36188: FasterXML jackson-databind 2.x antes de 2.9.10.8 maneja mal la interacción entre los dispositivos de serialización y la escritura, relacionada con com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource.

CVE-2020-36187: FasterXML jackson-databind 2.x antes de 2.9.10.8 maneja mal la interacción entre los dispositivos de serialización y la escritura, relacionada con org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource.

CVE-2020-36186: FasterXML jackson-databind 2.x antes de 2.9.10.8 maneja mal la interacción entre los dispositivos de serialización y la escritura, relacionada con org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource.

CVE-2020-36185: FasterXML jackson-databind 2.x antes de 2.9.10.8 maneja mal la interacción entre los dispositivos de serialización y la escritura, relacionada con org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource.

CVE-2020-36184: FasterXML jackson-databind 2.x antes de 2.9.10.8 maneja mal la interacción entre los dispositivos de serialización y la escritura, relacionada con org.apache.tomcat.dbcp.dbcp2.datasources.PerUserPoolDataSource.

Notas Importantes

Se agregó Jackson 2.11, MapperFeature.BLOCK_UNSAFE_POLYMORPHIC_BASE_TYPESque se puede habilitar para evitar el uso de métodos heredados 2.10 obsoletos potencialmente inseguros: lea más en la publicación del blog " Características de Jackson 2.11 ".

Jackson 2.10 admite la nueva "Escritura predeterminada segura" a través de activateDefaultTyping()(en lugar de obsoleta enableDefaultTyping()): lea más en la publicación del blog " Características de Jackson 2.10 "

Referencias:

https://cowtowncoder.medium.com/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062

https://github.com/FasterXML/jackson-databind/issues/3003

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Fecha actualización el 2021-01-08. Fecha publicación el 2021-01-08. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: NIST