99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

漏洞描述

FasterXMLjackson-databind是一個(gè)簡(jiǎn)單基于Java應(yīng)用庫(kù)，Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔，同樣也可以將json、xml轉(zhuǎn)換成Java對(duì)象。FasterXMLjackson-databind2.9.9.2以下版本存在反序列化漏洞補(bǔ)丁繞過(guò)。

漏洞編號(hào)

CVE-2019-14379、CVE-2019-14361

漏洞危害

攻擊者可以通過(guò)精心構(gòu)造的請(qǐng)求包可以在受影響的Jackson服務(wù)器上進(jìn)行遠(yuǎn)程代碼執(zhí)行。

漏洞等級(jí)

高危
受影響版本

FasterXMLjackson-databind<2.9.9.2

FasterXMLjackson-databind<2.10.0

FasterXMLjackson-databind<2.7.9.6

FasterXMLjackson-databind<2.8.11.4

修復(fù)方案

1、升級(jí)FasterXMLjackson-databind版本到2.9.9.2,2.10.0,2.7.9.6,2.8.11.4；

2、不開(kāi)啟Jackson的defaultTyping選項(xiàng)。