Jackson-databind 反序列化漏洞(CEV-2021-20190)
具体漏洞报告如下:
这里是让我们直接下载新版相关jar包去替换,但是由于aasv10jar包替换后需要修改的配置比较多,因为v10所有jar包是用hash码去结合代码端
处理方案:
替换较新版本的aasv10
如:20220913版本的,相关jackson-databind的版本为:(ApusicAS\aas\modules目录下jackson-databind.jar)
版本路径查看:jackson-databind.jar/MANIFEST.MF中Bundle-Version,是较新版本
