Jackson-databind 反序列化漏洞（CVE-2020-36179 ~ CVE-2020-36189）

2021年1月7日，jackson-databind官方发布安全通告，披露jackson-databind < 2.9.10.8存在多个反序列化远程代码执行漏洞（CVE-2020-36179 ~ CVE-2020-36189），利用该漏洞，攻击者可远程执行代码，控制服务器。

2020年12月17日，jackson-databind官方发布安全通告，披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞（CVE-2020-35490/CVE-2020-35491）。利用该漏洞，攻击者可控制服务器。

2020年12月27日，jackson-databind官方发布安全通告，披露jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞（CVE-2020-35728）。利用该漏洞，攻击者可远程执行代码，控制服务器。若未使用enableDefaultTyping()方法，可忽略该漏洞。

2021年1月19日，jackson-databind官方发布安全通告，披露jackson-databind < 2.9.10.6存在一处反序列化漏洞，此漏洞可能导致远程代码漏洞执行。

VMware Tanzu发布安全公告，在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中，公布了一个存在于Spring Framework中的反射型文件下载（Reflected File Download,RFD）漏洞CVE-2020-5421。
CVE-2020-5421 可通过jsessionid路径参数，绕过防御RFD攻击的保护。先前针对RFD的防护是为应对 CVE-2015-5211 添加的。
攻击者通过向用户发送带有批处理脚本扩展名的URL，使用户下载并执行文件，从而危害用户系统。VMware Tanzu官方已发布修复漏洞的新版本。
Spring Framework是 Java 平台的一个开源全栈应用程序框架和控制反转容器实现，一般被直接称为 Spring。

解决方案

升级spring-boot 版本