2020年12月18日，腾讯云服务安全运营管理中心检测到，FasterXML Jackson-databind官方发布安全性通知，公布Jackson-databind < 2.9.10.8存有反序列化远程控制代码执行漏洞，漏洞序号CVE-2020-35490、CVE-2020-35491。

为防止您的业务流程受影响，腾讯云服务安全性建议立即进行安全性自纠自查，如在受影响范畴，请您立即开展升级修补，防止被外界攻击者侵入。

漏洞详细信息

Jackson-databind是一套开源系统java性能卓越JSONCPU。

据官方网叙述，Jackson-databind存有一处新的反序列化远程控制代码执行漏洞（CVE-2020-35790/CVE-2020-35491），该漏洞是因为org.apache.commons.dbcp2.datasources.PerUserPoolDataSource和org.apache.commons.dbcp2.datasources.SharedPoolDataSource

组件库存有不安全的反序列化，造成 攻击者能够运用漏洞完成远程控制代码执行。

安全风险

中风险性

漏洞风险性

攻击者可运用该漏洞远程控制实行随意编码

危害版本

jackson-databind 2.x < 2.9.10.8

安全性版本

jackson-databind >=2.9.10.8 (并未发布)

jackson-databind >=2.10.0

修补提议

1.官方网并未发布补丁下载，提议应用 jackson-databind > 2.10的版本，此版本应用授权管理认证，可完全避免该类风险性。

2.对于没法升級jackson-databind的，清查并将有关jar部件从运用依靠中清除可阻拦漏洞进攻（很有可能会造成 运用不能用风险性）。

官方网连接：

【备注名称】：建议在升級前搞好备份数据工作中，防止发生意外

检验与安全防护

- 腾讯官方T-Sec云服务器防火墙标准库时间2020-12-18以后的版本，已适用对Jackson-databind反序列化漏洞运用开展检验和阻拦，腾讯云服务服务器防火墙内嵌的侵入防御力作用，应用虚似补丁下载体制防御力全新的漏洞运用；

- 腾讯官方 T-Sec Web运用服务器防火墙（WAF）已适用阻拦Jackson-databind反序列化漏洞（CVE-2020-35490/CVE-2020-35491)

漏洞参照