2020年12月27日，jackson-databind官方发布安全通告，披露jackson-databind ＜ 2.9.10.8存在反序列化远程代码执行漏洞（CVE-2020-35728）。

漏洞描述：2020年12月27日，jackson-databind官方发布安全通告，披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞（CVE-2020-35728）。利用该漏洞，攻击者可远程执行代码，控制服务器。若未使用enableDefaultTyping()方法，可忽略该漏洞。

安全版本： jackson-databind >= 2.9.10.8 (尚未推出) jackson-databind >= 2.10.0 漏洞缓解措施： 1.官方尚未推出补丁，建议客户使用 jackson-databind > 2.10的版本，此版本使用activateDefaultTyping()，配置白名单可彻底杜绝此类风险。 白名单配置方法可参考：参照：https://s.tencent.com/research/bsafe/1209.html 2.针对无法升级jackson-databind的，排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击（可能会导致应用不可用风险）。

参考链接：https://s.tencent.com/research/report/1209.html