Jackson-databind反序列化漏洞（CVE-2020-35728）风险通告

　　ackson-databind官方发布安全通告，披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞(CVE-2020-35728)，利用漏洞可导致远程执行服务器命令。

　　漏洞描述：

　　jackson-databind存在一处反序列化远程代码执行漏洞(CVE-2020-35728)，该漏洞是由于com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool组件库存在不安全的反序列化，导致攻击者可以利用漏洞实现远程代码执行。

　　jackson-databind是一套开源java高性能JSON处理器。

　　漏洞编号：

　　CVE-2020-35728

　　漏洞等级：

　　严重

　　受影响的版本：

　　FasterXML jackson-databind 2.x < 2.9.10.8

　　安全版本：

　　FasterXML jackson-databind >= 2.9.10.8

　　FasterXML jackson-databind >= 2.10.0

　　漏洞缓解措施：

　　1.官方尚未推出补丁，建议客户使用 jackson-databind > 2.10的版本，此版本使用白名单验证，可彻底杜绝此类风险。

　　2.针对无法升级jackson-databind的，排查并将相关jar组件从应用依赖中移除可阻止漏洞攻击(可能会导致应用不可用风险)。

　　注：修复漏洞前请备份资料，并进行充分测试。

　　参考链接：

　　https://nvd.nist.gov/vuln/detail/CVE-2020-35728

　　https://github.com/FasterXML/jackson-databind/issues/2999

　　https://cowtowncoder.medium.com/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062