漏洞描述 FasterXML jackson-databind是FasterXML公司的一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。FasterXML存在远程代码执行漏洞。该漏洞是由于应用程序对特殊的类org.apache.xbean.propertyeditor.JndiConverter的调用限制不足导致的。
相关漏洞推荐 Apache CXF Aegis databinding /test 文件读取漏洞(CVE-2024-28752) POC CVE-2020-9547: FasterXML jackson-databind - Deserialization Remote Code Execution POC CVE-2020-9548: FasterXML Jackson Databind <=2.9.10.4 - Remote Code Execution jackson-databind 反序列化漏洞(shiro gadget) jackson-databind 反序列化漏洞(spring gadget)