近日,国家信息安全漏洞共享平台(CNVD)收录了CNVD白帽子(ID:ayound)报送的Jackson框架enableDefaultTyping方法反序列化漏洞(CNVD-2017-04483)。攻击者利用漏洞可在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。
2017年4月17日, Jackson框架曝出存在Java反序列化漏洞,利用漏洞可造成远程代码执行,获取网站控制权,危害极高。
Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的......