一、概要

近日，華為云安全團隊關注到外部安全人員披露了Jackson-databind反序列化遠程命令執(zhí)行漏洞（CVE-2019-12384）， 該漏洞是由于Jackson黑名單過濾不完整而導致，攻擊者可構造包含有惡意代碼的json數據包對應用進行攻擊，導致遠程命令執(zhí)行。FasterXML Jackson是美國FasterXML公司的一款適用于Java的數據處理工具。jackson-databind是其中的一個具有數據綁定功能的核心組件之一。

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

漏洞影響的產品版本包括：Jackson-databind 2.0.0 ~2.9.9.1

安全版本為：Jackson-databind >=2.9.9.1

四、處置方案

官方已經在2.9.9.1及以上版本中修復該漏洞，請盡快升級至2.9.9.1及以上版本進行防護。

下載地址：https://github.com/FasterXML/jackson-databind/releases

注：修復漏洞前請將資料備份，并進行充分測試。