Jackson-databind远程命令执行漏洞预警（CVE-2019-12384）

一、概要

近日，华为云安全团队关注到外部安全人员披露了Jackson-databind反序列化远程命令执行漏洞（CVE-2019-12384）， 该漏洞是由于Jackson黑名单过滤不完整而导致，攻击者可构造包含有恶意代码的json数据包对应用进行攻击，导致远程命令执行。FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。

 二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

 三、影响范围

漏洞影响的产品版本包括：Jackson-databind 2.0.0 ~2.9.9.1

安全版本为：Jackson-databind >=2.9.9.1

 四、处置方案

官方已经在2.9.9.1及以上版本中修复该漏洞，请尽快升级至2.9.9.1及以上版本进行防护。

下载地址：https://github.com/FasterXML/jackson-databind/releases

注：修复漏洞前请将资料备份，并进行充分测试。