【漏洞详情】

Jackson是一套开源的java序列化与反序列化工具框架，可将Java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高，目前是Spring MVC中内置使用的解析方式。该漏洞系Jackson针对反序列化漏洞（CVE-2017-7525）存在遗留问题的延伸，由于之前采用黑名单方式过滤不全，导致攻击者可以利用该漏洞发送恶意构造恶意的输入实施代码执行攻击，获取网站服务器控制权。

【风险等级】
高风险

【漏洞风险】
在服务器主机上执行任意代码或系统指令，取得网站服务器的控制权

【影响版本】
Jackson-databind version 2.9.3
Jackson-databind version 2.7.9.1
Jackson-databind version 2.8.10

【安全版本】
Jackson-databind version 2.9.3.1
Jackson-databind version 2.7.9.2
Jackson-databind version 2.8.11

【修复建议】
目前官方已经发布新版本修复了该漏洞，建议您参照上述【安全版本】升级到对应的最新版本，目前最新版本下载链接：https://github.com/FasterXML/jackson-databind/releases