介绍

【漏洞通告】Jackson-databind远程代码执行漏洞（CVE-2020-8840）通告

	2月19日，NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行
漏洞（CVE-2020-8840），CVSS评分为9.8 。受影响版本的jackson-databind中由于缺少
某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，可
导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复，
请相关用户及时升级进行防护。

受影响版本

2.0.0 <= FasterXML jackson-databind <= 2.9.10.2

不受影响版本

FasterXML jackson-databind = 2.8.11.5
FasterXML jackson-databind = 2.9.10.3（暂未发布）

修复流程

1. 找到对应的Jar包：jackson-databind，jackson-core，jackson-core并替换新的Jar包即可！
原因：
	由于Jar包jackson-databind同时还依赖了jackson-core和jackson-annation两个Jar包，所以在替换
的时候这三个一起替换即可，同时还需要注意这三个Jar包是同一个版本。

参考链接：https://nvd.nist.gov/vuln/detail/CVE-2020-8840

好记性不如笔记来的实在！！！