【漏洞详情】

Jackson-databind是一套开源java高性能JSON处理器，近日，平安云安全中心监测到，FasterXML Jackson-databind官方发布安全通告，披露了两个高危反序列化远程代码执行漏洞：

CVE-2020-36179：由于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

CVE-2020-36189：由于com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。 

【漏洞评级】

高危

【 影响范围】

l  jackson-databind 2.x < 2.9.10.8

【修复建议】

官方已发布安全版本，建议受影响的用户结合实际业务评估漏洞风险影响，可通过如下方案避免安全风险。

方案一，升级至 jackson-databind > 2.10版本

方案二，如无法升级jackson-databind版本，可结合业务需求，将相关jar组件从应用依赖中移除

【参考链接】

https://nvd.nist.gov/vuln/detail/CVE-2020-36189

https://nvd.nist.gov/vuln/detail/CVE-2020-36179

特别提醒：安全加固前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安金融云

2021年1月7日