【漏洞详情】

近日，Jackson官方github仓库发布最新远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)，利用此漏洞攻击者通过发送精心构造的恶意JSON数据，可成功绕过CVE-2019-12384漏洞补丁，实现WEB服务器端远程任意代码执行攻击。

【风险评级】

高危

【影响范围】

jackson-databind < 2.9.9.2

jackson-databind < 2.10.0

jackson-databind < 2.7.9.6

jackson-databind < 2.8.11.4

【修复建议】

建议受影响用户综合评估漏洞风险和业务影响，升级jackson相关组件至最新版本修复此漏洞

最新安全版本下载地址：http://central.maven.org/maven2/com/fasterxml/jackson/core/jackson-databind/；

【参考链接】

https://github.com/FasterXML/jackson-databind/issues/2389

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2019年8月1日