CVE-2019-14361、CVE-2019-14439
ackson 官方公开 2 个高危漏洞,攻击者可以通过向受影响的 Jackson 服务器发送精心构造的请求包,导致远程代码执行。
影响范围
FasterXML jackson-databind<2.9.9.2
FasterXML jackson-databind<2.10.0
FasterXML jackson-databind<2.7.9.6
FasterXML jackson-databind<2.8.11.4
修复方案
1、升级 FasterXML jackson-databind 版本到 2.9.9.2,2.10.0,2.7.9.6,2.8.11.4 及以上版本
2、不开启 Jackson 的 defaultTyping 选项
https://github.com/FasterXML/jackson-databind/issues/2389
https://github.com/FasterXML/jackson-databind/issues/2387
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.