2月19日，NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行漏洞。受影响版本的jackson-databind中由于缺少某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，可导致攻击者使用JNDI注入的方式实现远程代码执行。 在jackson-databind中的反序列化gadget也同样影响了fastjson，在开启了autoType功能的情况下（autoType功能默认关闭），攻击者利用该漏洞可实现在目标机器上的远程代码执行。 漏洞验证 暂无PoC/EXP。 修复建议 1. FasterXML jackson-databind 目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级版本进行防护，暂未发布新版本的请持续关注官方信息，下载链接：https://github.com/FasterXML/jackson-databind/releases。 2. fastjson 官方暂未发布针对此漏洞的修复版本，开启了autoType功能的受影响用户可通过关闭autoType来规避风险（autoType功能默认关闭），另建议将JDK升级到最新版本。 autoType关闭方法如下： 方法一： 在项目源码中全文搜索如下代码，找到并将此行代码删除： ParserConfig.getGlobalInstance().setAutoTypeSupport(true); 方法二： 在JVM中启动项目时，切勿添加以下参数： -Dfastjson.parser.autoTypeSupport=true 参考链接 https://nvd.nist.gov/vuln/detail/CVE-2020-8840

>>> 更多资讯详情请访问蚂蚁淘商城