漏洞描述:2020年12月27日,jackson-databind官方发布安全通告,披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35728)。利用该漏洞,攻击者可远程执行代码,控制服务器。若未使用enableDefaultTyping()方法,可忽略该漏洞。
安全版本: jackson-databind >= 2.9.10.8 (尚未推出) jackson-databind >= 2.10.0 漏洞缓解措施: 1.官方尚未推出补丁,建议客户使用 jackson-databind > 2.10的版本,此版本使用activateDefaultTyping(),配置白名单可彻底杜绝此类风险。 白名单配置方法可参考:参照:https://s.tencent.com/research/bsafe/1209.html 2.针对无法升级jackson-databind的,排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)。