【漏洞详情】

近日，平安云监测到知名Java数据处理框架 Jackson 核心库 jackson-databind 2.9.9之前的2.x版本被爆存在任意文件读取漏洞（CVE-2019-12086），在 Default Typing 开启情况下，若 classpath 中存在小于 mysql-connector-java 8.0.15版本（2019.2.1发布），攻击者可以通过该漏洞发送恶意 json 数据读取任意文件。
目前已有详细外部漏洞利用方法流出，为避免您的业务受影响，建议用户及时开展安全自查，如在受影响范围，请及时进行更新修复，避免被外部攻击者入侵。

【风险评级】

  中危

【影响范围】

  Jackson 2.x < 2.9.9 版本

【修复建议】

  升级 Jackson 至2.9.9 版本或更高版本

【参考链接】

  1）官方通告：https://github.com/FasterXML/jackson-databind/issues/2326
  2）社区参考：https://nvd.nist.gov/vuln/detail/CVE-2019-12086 

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。