描述

当配置为启用默认类型时，Jackson存在一个反序列化漏洞，可能导致任意代码执行。Jackson通过黑名单限制已知的“反序列化Gadget”来修复此漏洞。

Spring Batch将Jackson配置为启用全局默认类型，这意味着，如果以下所有条件都成立，则可以通过上述利用方式执行任意代码：

• Spring Batch的Jackson支持被用于序列化Job的ExecutionContext。
• 恶意用户获得了对JobRepository使用的持久存储的写入访问权限（其中存储了需要反序列化的数据）。

为了防范此类攻击，Jackson会阻止反序列化一组不受信任的Gadget类。Spring Batch在启用默认类型时，应积极阻止未知的“反序列化Gadget”。

受影响的 Spring 产品和版本

• Spring Batch
  • 4.0.0 到 4.0.4
  • 4.1.0 至 4.1.4
  • 4.2.0 至 4.2.2

缓解措施

受影响版本的使用者应升级到4.2.3或更高版本。已修复此问题的版本包括：

• Spring Batch
  • 4.2.3

致谢

此问题由Srikanth Ramu发现并负责任地报告。

参考资料

• https://medium.com/@cowtowncoder/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062
• https://github.com/spring-projects/spring-batch/issues/3729

历史

• 2020-06-10：发布初始漏洞报告。