FasterXML jackson-databind远程代码执行漏洞预警 - UCloud中立云计算服务商

产品
方案
客户
服务
活动
关于

App 文档备案

退出

促销活动专区

618 云上掘金
Think in Cloud

2020 2019 2018
更多专题

“快杰”云主机

促销活动专区

Think in Cloud

TIC 2020
TIC 2019
TIC 2018 12月
TIC 2018 5月
TIC 2015

更多专题

安全公告 UCloud-201907-002:FasterXML jackson-databind远程代码执行漏洞预警

UCloud-201907-002:FasterXML jackson-databind远程代码执行漏洞预警

发布时间 2019-07-31
更新时间 2019-07-31
漏洞等级 High
CVE编号 CVE-2019-14361、CVE-2019-14439

漏洞详情

jackson官方公开2个高危漏洞，攻击者可以通过向受影响的Jackson服务器发送精心构造的请求包，导致远程代码执行。

影响范围

FasterXML jackson-databind<2.9.9.2
FasterXML jackson-databind<2.10.0
FasterXML jackson-databind<2.7.9.6
FasterXML jackson-databind<2.8.11.4

修复方案

1、升级FasterXML jackson-databind版本到2.9.9.2,2.10.0,2.7.9.6,2.8.11.4及以上版本
2、不开启Jackson的defaultTyping选项

参考链接

https://github.com/FasterXML/jackson-databind/issues/2389
https://github.com/FasterXML/jackson-databind/issues/2387