Premessa
In questa procedura dettagliata video, abbiamo coperto una vulnerabilità nella libreria Jackson che utilizza la deserializzazione JSON e abbiamo utilizzato 'Tempo' di Hackthebox a scopo dimostrativo.
Descrizione CVE
FasterXML jackson-databind 2.x prima della 2.9.9.1 potrebbe consentire agli aggressori di avere una varietà di impatti sfruttando l'incapacità di bloccare la classe logback-core dalla deserializzazione polimorfica. A seconda del contenuto del classpath, potrebbe essere possibile l'esecuzione di codice remoto.
Ottieni le note sul certificato OSCP
Competenze apprese
JSON
Videoprocedura dettagliata
Mostra commenti