【漏洞详情】

近日，jackson-databind发布新版本修复了一个由JNDI注入导致的远程代码执行漏洞（CVE-2020-8840）。由于缺少某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，攻击者可通过JNDI注入的方式实现远程代码执行。建议受影响的用户综合评估安全及业务影响，及时进行加固修复，避免安全风险。

【风险评级】

高危

【影响范围】

2.0.0 <= FasterXML jackson-databind Version <= 2.9.10.2

【修复建议】

官方已经发布新版本修复了该漏洞，建议受影响用户综合评估漏洞风险和业务影响，升级最新版本以避免安全风险。

下载地址：https://github.com/FasterXML/jackson-databind/releases

【参考链接】

https://nvd.nist.gov/vuln/detail/CVE-2020-8840

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安金融云

2020年2月21日