一、漏洞简介
FasterXML jackson-databind是FasterXML公司的一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.9.9.1之前的2.x版本中存在代码问题漏洞。攻击者可利用该漏洞执行代码或造成其他危害。
参考链接:https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-201906-867
二、修复说明
@b@@b@漏洞详情:- jackson-databind@b@@b@漏洞版本:<=2.9.7(jackson-databind-2.9.7.jar)
升级说明
将 Jackson-databind 升级到 2.6.7.3、2.7.9.6、2.8.11.4、2.9.10 及以上版本,下载地址:@b@@b@https://github.com/FasterXML/jackson-databind/releases@b@@b@https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind