一、概要

近日，華為云關注到jackson-databind官方發(fā)布最新版本，當中修復了一處反序列化遠程代碼執(zhí)行漏洞（CVE-2020-24616），漏洞存在于br.com.anteros:Anteros-DBCP庫類中，攻擊者可以通過精心構造的請求包在受影響的 Jackson 服務器上進行遠程代碼執(zhí)行。

華為云提醒使用jackson-databind的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://github.com/FasterXML/jackson-databind/issues/2814

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

jackson-databind < 2.9.10.6 

安全版本:

jackson-databind 2.9.10.6

四、漏洞處置

目前官方已在最新版本中修復了該漏洞，請受影響的用戶升級至安全版本。

下載地址：https://github.com/FasterXML/jackson-databind/releases/tag/jackson-databind-2.9.10.6

目前，華為云WAF已具備對該漏洞攻擊的防御能力，華為云WAF用戶將Web基礎防護的狀態(tài)設置為“攔截”模式即可，具體方法請參見 配置Web基礎防護規(guī)則。

注：修復漏洞前請將資料備份，并進行充分測試。