Vulnerabilità: CVE-2020-5411

Quando configurato per consentire digitazione predefinito, Jackson conteneva una vulnerabilità deserializzazione che potrebbe provocare l’esecuzione di codice arbitrario. Jackson risolto questa vulnerabilità lista nera note ""gadget deserializzazione"". configura molla batch Jackson con digitazione predefinito globale attivati ​​i quali mezzi di passaggio sfruttare il precedente codice arbitrario potrebbe essere eseguito se tutte le seguenti condizioni: supporto Jackson * molla del lotto viene sfruttato per serializzare ExecutionContext di un lavoro. * A maligni guadagni degli utenti Scrivi accesso all’archivio dati utilizzato dal JobRepository (dove i dati da deserializzate sono memorizzati). Al fine di proteggere contro questo tipo di attacco, Jackson impedisce un insieme di classi gadget attendibili vengano deserializzare. Batch primavera dovrebbe essere proattiva contro il blocco sconosciuti ""gadget deserializzazione"" quando si abilita la digitazione di default.


https://tanzu.vmware.com/security/cve-2020-5411
https://tanzu.vmware.com/security/cve-2020-5411
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5411


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi