发布日期：2020-03-03
更新日期：2020-03-05

受影响系统：

FasterXML jackson-databind 2.x  <= 2.9.10.4

描述：

---

CVE(CAN) ID: CVE-2020-9547

FasterXML Jackson是一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。

FasterXML jackson-databind 2.9.10.4 > 2.x版本在ibatis-sqlmap以及anteros-core组件的实现中存在安全漏洞，攻击者利用该漏洞可以绕过黑名单限制，在受害者机器上远程执行代码。开启了autoType功能的用户会受此漏洞影响（autoType功能默认关闭）。

<*来源：vendor
  *>

建议：

---

厂商补丁：

FasterXML
---------
官方暂未发布修复该漏洞的新版本，开启了autoType功能的受影响用户可通过关闭autoType来规避风险，另建议将JDK升级到最新版本。
autoType关闭方法：
方法一： 在项目源码中全文搜索如下代码，找到并将此行代码删除： ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
方法二： 在JVM中启动项目时，不要添加如下参数： -Dfastjson.parser.autoTypeSupport=true：

浏览次数：2090
严重程度：0（网友投票）