Jackson-databind的安全漏洞

今天公司发出了修复jackson-databind的安全漏洞分析，让公司统一修复，以下是过程：

一、基本描述

在2.9.9之前的FasterXML jackson-databind 2.x中发现了一个问题。为外部公开的JSON端点启用默认键入（全局或特定属性）时，该服务在类路径中具有mysql-connector-java jar（8.0.14或更早版本），并且攻击者可以托管精心设计的MySQL服务器可以访问服务器，攻击者可以发送精心设计的JSON消息，允许他们读取服务器上的任意本地文件。这是因为缺少com.mysql.cj.jdbc.admin.MiniAdmin验证。

二、修复过程

1、全盘查询项目中是否用到此jar文件，升级到2.9.9.1

三、遇到的问题

引入的maven文件中可能会包含这个jar文件，比如：logback文件中就引入的词jar文件。

本来想着是升级logback版本，对应的jackson-databind也会跟着升级，但是，想错了，并非如此。

目前解决方案是：直接引入此jar文件，覆盖其它版本即可。