一、概要

近日，华为云安全团队关注到外部安全人员披露了Jackson-databind最新反序列化远程命令执行漏洞（CVE-2019-14439）， 该漏洞可对CVE-2019-12384漏洞绕过，攻击者可以通过精心构造的请求包在受影响的 Jackson 服务器上进行远程代码执行。FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。

参考链接：

https://github.com/FasterXML/jackson-databind/issues/2389

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14439

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

三、影响范围

漏洞影响的产品版本包括：

Jackson-databind < 2.9.9.2

Jackson-databind < 2.10.0

Jackson-databind < 2.7.9.6

Jackson-databind < 2.8.11.4

安全版本为：

Jackson-databind >= 2.9.9.2

Jackson-databind >= 2.10.0

Jackson-databind >= 2.7.9.6

Jackson-databind >= 2.8.11.4

四、处置方案

升级至Jackson-databind最新版本，

下载地址：http://central.maven.org/maven2/com/fasterxml/jackson/core/jackson-databind/

注：修复漏洞前请将资料备份，并进行充分测试。