发布日期：2020-02-11
更新日期：2020-02-21

受影响系统：

FasterXML jackson-databind 2.0.0-2.9.10.2

描述：

---

CVE(CAN) ID: CVE-2020-8840

FasterXML jackson-databind是一个简单基于Java应用库，Jackson可以轻松的将Java对象转换成json对象和xml文档，同样也可以将json、xml转换成Java对象。

jackson-databind 2.0.0-2.9.10.2版本，由于缺少某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，可导致攻击者使用JNDI注入的方式实现远程代码执行。

<*来源：anonymous
  *>

建议：

---

厂商补丁：

FasterXML
---------
官方已经发布部分新版本修复了该漏洞，请受影响用户尽快升级进行防护，暂未发布新版本的请持续关注官方信息。

git下载地址：

https://github.com/FasterXML/jackson-databind/releases

浏览次数：2076
严重程度：0（网友投票）