UCloud-201907-002:FasterXML jackson-databind远程代码执行漏洞预警
- 发布时间 2019-07-31
- 更新时间 2019-07-31
- 漏洞等级 High
- CVE编号 CVE-2019-14361、CVE-2019-14439
漏洞详情
jackson官方公开2个高危漏洞,攻击者可以通过向受影响的Jackson服务器发送精心构造的请求包,导致远程代码执行。
影响范围
FasterXML jackson-databind<2.9.9.2
FasterXML jackson-databind<2.10.0
FasterXML jackson-databind<2.7.9.6
FasterXML jackson-databind<2.8.11.4
修复方案
1、升级FasterXML jackson-databind版本到2.9.9.2,2.10.0,2.7.9.6,2.8.11.4及以上版本
2、不开启Jackson的defaultTyping选项
参考链接
https://github.com/FasterXML/jackson-databind/issues/2389
https://github.com/FasterXML/jackson-databind/issues/2387