目前悬镜AI自主研发的灵脉AI自动化渗透测试系统已经支持jackson-databind漏洞的检测。为了快速定位系统是否存在最新爆出来的新型漏洞，灵脉支持对单个漏洞的检测。如果您使用Jackson工具且想确定是否存在该漏洞，请联系我们悬镜市场：010-86469499。

漏洞描述

6月21日，Redhat官方发布jackson-databind漏洞（CVE-2019-12384）安全通告，多个Redhat产品受此漏洞影响，CVSS评分为8.1，漏洞利用复杂度高。7月22日，安全研究员Andrea Brancaleoni对此漏洞进行分析，并公布了该漏洞的分析文章。

Jackson是一个开源的Java序列化与反序列化工具，可以将java对象序列化为xml或json格式的字符串，或者反序列化回对应的对象，由于其使用简单，速度较快，且不依靠除JDK外的其他库，被众多用户所使用。此漏洞利用FasterXML Jackson-databind的logback-core类建立JDBC连接,加载插入恶意代码的sql文件,获取服务器权限,实现远程代码执行漏洞的利用。

参考链接

https://blog.doyensec.com/2019/07/22/jackson-gadgets.html

受影响版本

Jackson-databind 2.X < 2.9.9.1

漏洞检测

当应用程序中引入Jackson组件，通过ObjectMapper对象调用enableDefaultTyping方法时，程序就会受到此漏洞的影响。

建议开发人员排查Jackson-databind组件的引入情况，包括是否引入以及版本详情，并且排查代码中是否调用了enableDefaultTyping方法。

以Maven项目为例，排查方法如下所示： 

1.检查xml相关文件对jackson-databind引入情况，判断当前版本是否低于2.9.9.1版本。

2.当引入了jackson-databind组件时，排查代码中是否调用了enableDefaultTyping方法，如果调用了，建议立即升级相关组件并重启Web应用。

漏洞防护

官方升级

官方已经在2.9.9.1版本中修复该漏洞，请用户尽快升级至2.9.9.1及以上版本进行防护。

声明

本安全预警通知仅用来描述可能存在的安全问题，悬镜安全不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，悬镜安全不为此承担任何责任。