CVE-2019-14361、CVE-2019-14439
ackson 官方公开 2 个高危漏洞,攻击者可以通过向受影响的 Jackson 服务器发送精心构造的请求包,导致远程代码执行。
影响范围
FasterXML jackson-databind<2.9.9.2
FasterXML jackson-databind<2.10.0
FasterXML jackson-databind<2.7.9.6
FasterXML jackson-databind<2.8.11.4
修复方案
1、升级 FasterXML jackson-databind 版本到 2.9.9.2,2.10.0,2.7.9.6,2.8.11.4 及以上版本
2、不开启 Jackson 的 defaultTyping 选项
https://github.com/FasterXML/jackson-databind/issues/2389
https://github.com/FasterXML/jackson-databind/issues/2387
Select Language