2020年2月21日，阿里云应急响应中心监测到NVD发布安全通告披露jackson-databind <= 2.9.10.2存在反序列化远程代码执行漏洞（CVE-2020-8840），CVSS3评分9.8。利用漏洞可导致远程执行服务器命令，官方git已发布公告说明，请使用到jackson-databind jar组件的用户尽快升级至安全版本。

漏洞描述

jackson-databind是一套开源java高性能JSON处理器，受影响版本的jackson-databind中由于缺少某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，可导致攻击者使用JNDI注入的方式实现远程代码执行，漏洞需要配合xbean-reflect-*.jar组件才能成功利用，影响面适中。阿里云应急响应中心提醒jackson-databind用户尽快采取安全措施阻止漏洞攻击。

风险评级

CVE-2020-8840 中危

影响版本

jackson-databind 2.9系列 < 2.9.10.3

jackson-databind 2.8系列 < 2.8.11.5

jackson-databind 低于2.8系列

安全版本

jackson-databind 2.10系列 全版本

jackson-databind 2.9系列 >= 2.9.10.3

jackson-databind 2.8系列 >= 2.8.11.5

安全建议

以下任意一种方法均可实现漏洞修复

1、针对使用到jackson-databind组件的web服务升级jackson-databind组件至安全版本：https://repo1.maven.org/maven2/com/fasterxml/jackson/core/jackson-databind/2.9.10.3/

https://github.com/FasterXML/jackson-databind/releases

2、针对无法升级jackson-databind的，排查并将xbean-reflect-*.jar组件从应用依赖中移除可阻止漏洞攻击（可能会导致应用不可用风险）

相关链接

https://github.com/FasterXML/jackson-databind/issues/2620

https://nvd.nist.gov/vuln/detail/CVE-2020-8840

https://github.com/FasterXML/jackson-databind/releases

阿里云WAF默认防御此漏洞攻击

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2020.02.21