【漏洞详情】

jackson-databind是Jackson工具中执行数据绑定功能的组件，当应用程序使用ObjectMapper对象调用enableDefaultTyping方法时，则存在反序列化远程代码执行漏洞(CVE-2019-12384)，攻击者可通过发送精心构造JSON数据触发此漏洞，实现服务器端远程任意代码执行攻击。

【风险评级】

高危

【影响范围】

jackson-databind < 2.9.9.1

【修复建议】

目前针对该漏洞利用的POC已经公开，建议受影响用户综合评估漏洞风险和业务影响，可通过升级jackson-databind至最新版本修复此漏洞，

下载地址：https://github.com/FasterXML/jackson-databind/issues/2334

【参考链接】

https://github.com/FasterXML/jackson-databind/issues/2334

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2019年7月24日