Sårbarhet i FasterXML Jackson-databind

Sårbarhet FasterXML Jackson Java

En sårbarhet har upptäckts i FasterXML Jackson-databind, ett Java-bibliotek som används för att serialisera Java-objekt till JSON och vice versa. Sårbarheten (CVE-2019-14893) har fått CVSS-klassificering på 9,8 av 10. [1]

Sårbarheten gör det möjligt att deserialisera data utan korrekt validering, vilket innebär att en angripare kan utföra godtycklig kod. Sårbarheten upptäcktes redan förra året men har nu även upptäckts i produkter från IBM och Huawei. [2, 3]

Påverkade produkter

Sårbarheterna berör följande produkter: Jackson-databind (alla versioner före 2.9.10 och 2.10.0)

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt.

Källor

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14893

[2] https://www.ibm.com/support/pages/node/6221228

[3] https://www.huawei.com/en/psirt/security-advisories/2020/huawei-sa-20200610-01-fastjason-en