CVE-2020-8840：FasterXML/jackson-databind 远程代码执行漏洞处置通告

 近日检测到CNVD发布CVE-2020-8840漏洞，360灵腾安全实验室判断漏洞等级为高，利用难度低 ，威胁程度高，影响面大。建议使用用户及时安装最新补丁，以免遭受黑客攻击。0x00 漏洞概述FFasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库，可将Java对象转换成json对象和xml文档，同样也可将json对象转换成Java对象。此次漏洞中攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行。0x01 漏洞详情可以在git提交记录中清楚看到利用的具体类分析下利用链，通过传进参数asText，触发setter，setAsText()函数随后跟进toObject()函数最终进到JndiConverter重写的toObjectImp()函数此时出现经典的JNDI注入，text 刚好就是我们传进的asText，我们可控，从而达到命令执行目的0 ………………………………