Prämisse
In diesem Video-Walkthrough haben wir eine Schwachstelle in der Jackson-Bibliothek behandelt, die JSON-Deserialisierung verwendet und 'Zeit'-Maschine von Hackthebox zu Demozwecken.
CVE-Beschreibung
FasterXML jackson-databind 2.x vor 2.9.9.1 könnte Angreifern eine Vielzahl von Auswirkungen ermöglichen, indem sie Fehler beim Blockieren der Klasse logback-core bei der polymorphen Deserialisierung ausnutzen. Abhängig vom Classpath-Inhalt kann Remotecodeausführung möglich sein.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Erlernte Fähigkeiten
JSON
Video-Komplettlösung
Anmerkungen anzeigen