近日，金山云安全应急响应中心监测到FasterXML Jackson官方团队发布了jackson-databind 2.9.10.6版本修复了多个反序列化安全漏洞。 

建议广大用户及时升级到安全版本，避免被黑客攻击造成损失。

风险等级

中危

漏洞描述

FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。Jackson是SpringBoot中首要选择和默认的转换工具。

FasterXML jackson-databind 2.9.10.6之前的版本中存在多个反序列化安全漏洞，远程攻击者可通过精心构造的恶意载荷在系统上执行任意代码。

CVE-2020-24616：该漏洞源于Jackson上使用br.com.anteros:Anteros-DBCP 组件库进行了不安全的反序列化

issue #2827：该漏洞源于Jackson上使用org.arrahtec:profiler-core 组件库进行了不安全的反序列化

issue#2826：该漏洞源于Jackson上使用com.nqadmin.rowset:jdbcrowsetimpl 组件库进行了不安全的反序列化

issue#2798：该漏洞源于Jackson上使用com.pastdev.httpcomponents:configuration 组件库进行了不安全的反序列化

影响版本

jackson-databind < 2.9.10.6

修复建议

1. 尽快升级到升级到jackson-databind 2.9.10.6 或更高版本

地址：

https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6

2. 在Jackson 2.10 中引入了Safe Default Typing白名单机制，可杜绝此类gadget的影响

如暂时无法升级，作为缓解措施，建议不要将反序列化接口暴露在外网；

参考链接

https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6

https://nvd.nist.gov/vuln/detail/CVE-2020-24616

https://github.com/FasterXML/jackson-databind/issues/2827

https://github.com/FasterXML/jackson-databind/issues/2826

https://github.com/FasterXML/jackson-databind/issues/2798

北京金山云网络技术有限公司

2020/08/27