大工网安告[2020]008号

一、情况分析

2月19日，NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行漏洞（CVE-2020-8840），CVSS评分为9.8。受影响版本的jackson-databind中由于缺少某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，可导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复，请相关用户及时升级进行防护。

二、影响范围

受影响版本

2.0.0 < ="FasterXML" jackson-databind <="2.9.10.2

不受影响版本

FasterXML jackson-databind = 2.8.11.5

FasterXML jackson-databind = 2.9.10.3（暂未发布）

三、处置建议

版本检测：

建议开发人员排查应用程序中对Jackson-databind组件的引入情况，包括是否引入以及版本详情。以Maven项目为例，可检查pom.xml相关文件对jackson-databind引入情况，查看当前使用的版本。若当前版本在受影响范围内，则可能存在安全风险。

官方升级：

目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级版本进行防护，暂未发布新版本的请持续关注官方信息，下载链接：

开发人员也可通过配置Maven的方式对应用升级并编译发布

附：参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2020-8840