一、概要

近日，华为云关注到jackson-databind的2.0.0至2.9.10.3版本中存在一个反序列化远程代码执行漏洞（CVE-2020-8840）。FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具，jackson-databind是其中的一个具有数据绑定功能的核心组件之一。由于缺少某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，可导致攻击者使用JNDI注入的方式实现远程代码执行。

华为云提醒使用jackson-databind的用户及时安排自检并做好安全加固。

参考链接：

https://github.com/FasterXML/jackson-databind/issues/2620#

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

2.0.0 <= FasterXML jackson-databind Version <= 2.9.10.2 

安全版本:

jackson-databind 2.8系列 >= 2.8.11.5

jackson-databind 2.9系列 >= 2.9.10.3

jackson-databind 2.10系列

四、漏洞排查&处置

漏洞排查（满足以下3个条件受漏洞影响）：

a.    Jackson-databind版本在受影响范围内；

b.    打开了enableDefaultTyping()（该配置默认是关闭的）；

c.    使用了xbean-reflect库。

漏洞处置：

目前官方已在最新版本中修复了该漏洞，请受影响的用户升级至安全版本。

下载地址：https://github.com/FasterXML/jackson-databind/releases

注：修复漏洞前请将资料备份，并进行充分测试。