该漏洞影响jackson-databind对 JSON 文本的处理流程,需要更新jackson-databind到最新版本,但是github死活进不去,网上其他资料各种收费或者提供的jar包有问题,找到个免费还更新的资源,记录下jackson系列版本最新资源获取的地址。
https://repo1.maven.org/maven2/com/fasterxml/jackson/core/
jackson-core
、jackson-annotations
、jackson-databind
分别是:
- 核心库:提供基本的抽象数据类型(如 JsonToken 等)。
- 注解库:提供面向切面编程的注解功能,依赖于
jackson-core
。 - 数据绑定库:是核心库中抽象类型的具体实现,依赖于
jackson-core
、jackson-annotations
。
版本升级要注意下,databind对core有依赖关系,可能升级databind时候也得更新core。