发布日期：2022-12-26
更新日期：2023-02-20

受影响系统：

FasterXML jackson-databind <= 2.9.10.4

描述：

---

CVE(CAN) ID: CVE-2020-10650

FasterXML jackson-databind是基于JAVA以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可将Java对象转换成json对象和xml文档，还可将json、xml转换成Java对象。
jackson-databind 2.9.10.4及之前版本存在不受信数据反序列化漏洞。未经身份认证的攻击者可利用该漏洞通过ignite-jta或quartz-core: org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup执行任意代码。

<**>

建议：

---

厂商补丁：

FasterXML
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

https://github.com/FasterXML/jackson-databind/commit/a424c038ba0c0d65e579e22001dec925902ac0ef

浏览次数：706
严重程度：0（网友投票）