一、漏洞简介

FasterXML jackson-databind是FasterXML公司的一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档，同样也可以将json、xml转换成Java对象。

FasterXML jackson-databind 2.9.9.1之前的2.x版本中存在代码问题漏洞。攻击者可利用该漏洞执行代码或造成其他危害。

参考链接：https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-201906-867

二、修复说明

版本比对：检查当前系统中Jackson-databind版本是否在受影响范围内@b@@b@漏洞详情：- jackson-databind@b@@b@漏洞版本：<=2.9.7@b@@b@应用相关信息：@b@@b@- 进程PID：9 @b@@b@- SpringBoot子包名称：jackson-databind-2.9.7.jar@b@@b@该主机存在此漏洞

升级说明

将 Jackson-databind 升级到 2.6.7.3、2.7.9.6、2.8.11.4、2.9.10 及以上版本，下载地址：@b@@b@https://github.com/FasterXML/jackson-databind/releases@b@@b@https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind