介紹

Jackson是一套開源的java序列化與反序列化工具框架，可將java對象序列化為xml和json格式的字符串及提供對應的反序列化過程。由於其解析效率較高，目前是Spring MVC中內置使用的解析方式。

該漏洞的觸發條件是ObjectMapper反序列化前調用了enableDefaultTyping方法。該方法允許json字符串中指定反序列化java對象的類名，而在使用Object、Map、List等對象時，可誘發反序列化漏洞，導致可執行任意命令。

等級

高危

編號

CNVD-2017-04483

風險

遠程命令執行，攻擊者利用該漏洞可以獲得網站服務器的控制權。

影響版本

Jackson Jackson 2.7.*，<2.7.10

Jackson Jackson 2.8.*，<2.8.9

安全版本

2.7.10或2.8.9版本，同時後續將發佈的2.9.0版本也會加入該漏洞的修復措離。

修復

升級Jackson到2.7.10或2.8.9版本，下載鏈接：github.com/FasterXML/jackson-databind