Уязвимость компонента ObjectMapper библиотеки FasterXML jackson-databind связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения «черного списка» и выполнить произвольный код с использованием специально сформированных данных в формате JSON
Использование рекомендаций:
Для jackson-databind:
обновление программного обеспечения до более поздней версии
Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4190
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.9.8-3+deb10u1 или более поздней версии
| Балл | 7.5 — критическая опасность |